全部产品
Search
文档中心

【漏洞公告】CVE-2017-5664:Apache Tomcat 安全策略bypass漏洞

更新时间: 2018-05-10

Apache Tomcat是一个流行的开源JSP应用服务器程序。Apache Tomcat 9.0.0.M1-9.0.0.M20,8.5.0-8.5.14,8.0.0.RC1-8.0.43,7.0.0-7.0.77版本,在错误页面的实现机制中存在安全漏洞,根据源请求会导致意外结果。例如,若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。

漏洞详情见下文。


漏洞编号

CVE-2017-5664

漏洞名称

Apache Tomcat安全限制绕过漏洞

官方评级

高危

漏洞描述

攻击者可以利用该漏洞构造恶意请求,导致文件删除。例如,若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。具体请参考以下内容:

漏洞利用条件和方式

远程利用

漏洞影响范围

  • Apache Group Tomcat 9.0.0.M1-9.0.0.M20
  • Apache Group Tomcat 8.5.0-8.5.14
  • Apache Group Tomcat 8.0.0.RC1-8.0.43
  • Apache Group Tomcat 7.0.0-7.0.77

漏洞检测

漏洞修复建议(或缓解措施)

目前,厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载最新版本。

情报来源

[1]. http://tomcat.apache.org/security-9.html
[2]. http://tomcat.apache.org/security-8.html
[3]. http://tomcat.apache.org/security-7.html