2018年2月23日,Apache发布安全公告。公告显示Apache Tomcat 7、8、9存在安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304。攻击者可以利用这个问题,绕过某些安全限制,来执行未经授权的操作。
由于Apache Tomcat 使用较广泛,建议用户关注并开展自查工作。
漏洞详情见下文。
漏洞编号
CVE-2018-1305
CVE-2018-1304
漏洞名称
Apache Tomcat安全机制绕过漏洞
官方评级
中危
漏洞描述
Apache Tomcat servlet注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于该安全约束,在应用于URL模式及该点下任何URL时,很可能取决于servlet加载的次序。对于某些不应用的安全约束,恶意攻击者可能会利用该漏洞将资源暴露给未经授权访问用户,导致敏感信息泄露。
漏洞利用条件和方式
通过PoC直接远程利用。
PoC状态
未公开
漏洞影响范围
以下版本受到影响:
- 9版本(9.0.0.M1到9.0.4)
- 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
- 7版本(7.0.0到7.0.84)
以下版本不受该漏洞影响:
- 大于或等于Apache Tomcat 9.0.5版本
- 大于或等于Apache Tomcat 8.5.28版本
- 大于或等于Apache Tomcat 8.0.50版本
- 大于或等于Apache Tomcat 7.0.85版本
漏洞检测
开发人员检查是否使用了受影响版本范围内的Apache Tomcat。
漏洞修复建议(或缓解措施)
目前官方已提供以下安全更新版本:
- 9版本(9.0.5以后版本):https://tomcat.apache.org/download-70.cgi
- 8版本(8.5.28以后版本):https://tomcat.apache.org/download-80.cgi
- 7版本(7.0.85以后版本):https://tomcat.apache.org/download-90.cgi
注意:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。
情报来源
[1]. https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@announce.tomcat.apache.org
[2]. https://www.mail-archive.com/users@tomcat.apache.org/msg128401.html
[3]. https://www.mail-archive.com/users@tomcat.apache.org/msg128400.html