【高危漏洞预警】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞
发布日期 09/20/2017
2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间。在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上JSP文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的JSP文件,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。
阿里云安全提示您关注并尽快自查,以避免被外部恶意利用,导致安全事件发生。
受影响范围:
CVE-2017-12615影响范围:Apache Tomcat 7.0.0 - 7.0.79
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80
漏洞利用条件和方式:
1、CVE-2017-12615漏洞利用需要在Windows环境,且需要将readonly初始化参数由默认值设置为false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
2、CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
安全方案:
1、根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启Tomcat,临时规避安全风险;
注意:如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效;
2、目前官方已经发布了7.0.81版本修复了两个漏洞,建议用户尽快升级到最新版本;
3、可以选用阿里云云盾WAF进行防御。
如有任何问题,可随时通过工单联系反馈。
阿里云安全团队
阿里云安全提示您关注并尽快自查,以避免被外部恶意利用,导致安全事件发生。
受影响范围:
CVE-2017-12615影响范围:Apache Tomcat 7.0.0 - 7.0.79
CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80
漏洞利用条件和方式:
1、CVE-2017-12615漏洞利用需要在Windows环境,且需要将readonly初始化参数由默认值设置为false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
2、CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。
安全方案:
1、根据业务评估配置readonly和VirtualDirContext值为True或注释参数,禁用PUT方法并重启Tomcat,临时规避安全风险;
注意:如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效;
2、目前官方已经发布了7.0.81版本修复了两个漏洞,建议用户尽快升级到最新版本;
3、可以选用阿里云云盾WAF进行防御。
如有任何问题,可随时通过工单联系反馈。
阿里云安全团队