【高危弱點通知】CVE-2017-12615/CVE-2017-12616:Tomcat資訊洩漏和遠程代碼執行弱點
出版物日期 09/20/2017
2017年9月19日,Apache Tomcat官方確認並修複了兩個高危弱點,弱點CVE編號:CVE-2017-12615和CVE-2017-12616,該弱點受影響組建為7.0-7.80之間。在一定準則下,攻擊者可以利用這兩個弱點,get使用者服務器上JSP檔案管理員的原始碼,或是通過精心光纖的惡意探索任務,向使用者服務器上傳惡意JSP檔案管理員,通過上傳的JSP檔案管理員,可在使用者服務器上執行任意代碼,從而導致資料泄露或get伺服器權限,存在高安全風險。
阿里雲安全通知您追隨並儘快自查,以避免被外部惡意利用,導致安全活動發生。
受影響可及範圍:
CVE-2017-12615影響可及範圍:Apache Tomcat 7.0.0 - 7.0.79
CVE-2017-12616影響可及範圍:Apache Tomcat 7.0.0 - 7.0.80
弱點利用準則和方式:
1、CVE-2017-12615弱點利用需要在Windows環境,且需要將readonly初始化引數由預設值佈建為false,經過實際測試,Tomcat 7.x組建內web.xml組態檔內預設設定無readonly引數,需要手工新增,預設設定準則下不受此弱點影響。
2、CVE-2017-12616弱點需要在server.xml檔案管理員設定VirtualDirContext引數,經過實際測試,Tomcat 7.x組建內預設設定無VirtualDirContext引數,需要手工新增,預設設定準則下不受此弱點影響。
安全配置:
1、根據商務評量設定readonly和VirtualDirContext值為True或留言引數,停用PUT方法並重新開機Tomcat,臨時規避安全風險;
注意:如果停用PUT方法,對於依賴PUT方法的應用程式,可能導致商務失效;
2、目前官方已經出版物了7.0.81組建修複了兩個弱點,建議項目使用者儘快升級到最新組建;
3、可以選用阿里云云盾WAF進行防禦。
如有任何問題,可隨時通過工單連線意見反應。
阿里雲安全小組
阿里雲安全通知您追隨並儘快自查,以避免被外部惡意利用,導致安全活動發生。
受影響可及範圍:
CVE-2017-12615影響可及範圍:Apache Tomcat 7.0.0 - 7.0.79
CVE-2017-12616影響可及範圍:Apache Tomcat 7.0.0 - 7.0.80
弱點利用準則和方式:
1、CVE-2017-12615弱點利用需要在Windows環境,且需要將readonly初始化引數由預設值佈建為false,經過實際測試,Tomcat 7.x組建內web.xml組態檔內預設設定無readonly引數,需要手工新增,預設設定準則下不受此弱點影響。
2、CVE-2017-12616弱點需要在server.xml檔案管理員設定VirtualDirContext引數,經過實際測試,Tomcat 7.x組建內預設設定無VirtualDirContext引數,需要手工新增,預設設定準則下不受此弱點影響。
安全配置:
1、根據商務評量設定readonly和VirtualDirContext值為True或留言引數,停用PUT方法並重新開機Tomcat,臨時規避安全風險;
注意:如果停用PUT方法,對於依賴PUT方法的應用程式,可能導致商務失效;
2、目前官方已經出版物了7.0.81組建修複了兩個弱點,建議項目使用者儘快升級到最新組建;
3、可以選用阿里云云盾WAF進行防禦。
如有任何問題,可隨時通過工單連線意見反應。
阿里雲安全小組