2017年9月19日,Apache Tomcat官方確認并修復了兩個高危漏洞,漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,該漏洞受影響版本為7.0-7.80之間,在一定條件下,攻擊者可以利用這兩個漏洞,獲取用戶服務器上 JSP 文件的源代碼,或是通過精心構造的攻擊請求,向用戶服務器上傳惡意JSP文件,通過上傳的 JSP 文件 ,可在用戶服務器上執行任意代碼,從而導致數據泄露或獲取服務器權限,存在高安全風險。
阿里云提示您關注并盡快自查,具體詳情如下:
漏洞編號:
CVE-2017-12615
CVE-2017-12616
漏洞名稱:
CVE-2017-12615-遠程代碼執行漏洞
CVE-2017-12616-信息泄露漏洞
官方評級:
高危
漏洞描述:
CVE-2017-12616:信息泄露漏洞
當 Tomcat 中使用了 VirtualDirContext 時,攻擊者將能通過發送精心構造的惡意請求,繞過設置的相關安全限制,或是獲取到由 VirtualDirContext 提供支持資源的 JSP 源代碼。
CVE-2017-12615:遠程代碼執行漏洞
當 Tomcat 運行在 Windows 主機上,且啟用了 HTTP PUT 請求方法(例如,將 readonly 初始化參數由默認值設置為 false),攻擊者將有可能可通過精心構造的攻擊請求向服務器上傳包含任意代碼的 JSP 文件。之后,JSP 文件中的代碼將能被服務器執行。
通過以上兩個漏洞可在用戶服務器上執行任意代碼,從而導致數據泄露或獲取服務器權限,存在高安全風險。
漏洞利用條件和方式:
CVE-2017-12615漏洞利用需要在Windows環境,且需要將 readonly 初始化參數由默認值設置為 false,經過實際測試,Tomcat 7.x版本內web.xml配置文件內默認配置無readonly參數,需要手工添加,默認配置條件下不受此漏洞影響。
CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext參數,經過實際測試,Tomcat 7.x版本內默認配置無VirtualDirContext參數,需要手工添加,默認配置條件下不受此漏洞影響。
漏洞影響范圍:
CVE-2017-12616影響范圍:Apache Tomcat 7.0.0 - 7.0.80
CVE-2017-12615影響范圍: Apache Tomcat 7.0.0 - 7.0.79
漏洞檢測:
開發人員檢查是否使用受影響范圍內的Apache Tomcat版本
漏洞修復建議(或緩解措施):
根據業務評估配置readonly和VirtualDirContext值為Ture或注釋參數并重啟tomcat,臨時規避安全風險;
官方已經發布Apache Tomcat7.0.81版本修復了兩個漏洞,建議阿里云用戶盡快升級到最新版本;
可以選用阿里云云盾WAF進行防御
情報來源:
https://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
