Tomcat 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615)

该文章转载自:https://www.alibabacloud.com/zh/notice/tomcat_09_20

2017 年 9 月 19 日,Apache Tomcat 官方确认并修复了两个高危漏洞,漏洞 CVE 编号:CVE-2017-12615 和 CVE-2017-12616,该漏洞受影响版本为 7.0-7.80 之间。在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

阿里云安全提示您关注并尽快自查, 以避免被外部恶意利用,导致安全事件发生。

受影响范围:

CVE-2017-12615 影响范围:Apache Tomcat 7.0.0 - 7.0.79

CVE-2017-12616 影响范围:Apache Tomcat 7.0.0 - 7.0.80

漏洞利用条件和方式:

  1. CVE-2017-12615 漏洞利用需要在 Windows 环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x 版本内 web.xml 配置文件内默认配置无 readonly 参数,需要手工添加,默认配置条件下不受此漏洞影响。

  2. CVE-2017-12616 漏洞需要在 server.xml 文件配置 VirtualDirContext 参数,经过实际测试,Tomcat 7.x 版本内默认配置无 VirtualDirContext 参数,需要手工添加,默认配置条件下不受此漏洞影响。

安全方案:

  1. 根据业务评估配置 readonly 和 VirtualDirContext 值为 True 或注释参数,禁用 PUT 方法并重启 Tomcat,临时规避安全风险;

    注意:如果禁用 PUT 方法,对于依赖 PUT 方法的应用,可能导致业务失效;

  2. 目前官方已经发布了 7.0.81 版本修复了两个漏洞,建议用户尽快升级到最新版本;

  3. 可以选用阿里云云盾 WAF 进行防御。

阿里云安全团队

公司安全检查时提到过这两个漏洞!