2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞,漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,該漏洞受影響版本為7.0-7.80之間,在一定條件下,攻擊者可以利用這兩個漏洞,獲取用戶服務器上 JSP 文件的源代碼,或是通過精心構造的攻擊請求,向用戶服務器上傳惡意JSP文件,通過上傳的 JSP 文件 ,可在用戶服務器上執行任意代碼,從而導致數據泄露或獲取服務器權限,存在高安全風險。
漏洞編號:
CVE-2017-12615
CVE-2017-12616
漏洞名稱:
CVE-2017-12615-遠程代碼執行漏洞
CVE-2017-12616-信息泄露漏洞
官方評級:
高危
漏洞描述:
-
CVE-2017-12616:信息泄露漏洞
當Tomcat中啟用了 VirtualDirContext時,攻擊者將能通過發送精心構造的惡意請求,繞過設置的相關安全限制,或是獲取到由VirtualDirContext提供支持資源服務的JSP源代碼,從而造成代碼信息泄露。
-
CVE-2017-12615:遠程代碼執行漏洞
當 Tomcat運行在Windows操作系統時,且啟用了HTTP PUT請求方法(例如,將 readonly 初始化參數由默認值設置為 false),攻擊者將有可能可通過精心構造的攻擊請求數據包向服務器上傳包含任意代碼的 JSP 文件,JSP文件中的惡意代碼將能被服務器執行。導致服務器上的數據泄露或獲取服務器權限。
通過以上兩個漏洞可在用戶服務器上執行任意代碼,從而導致數據泄露或獲取服務器權限,存在高安全風險。
漏洞利用條件和方式:
- CVE-2017-12615漏洞利用需要在Windows環境,且需要將 readonly 初始化參數由默認值設置為 false,經過實際測試,Tomcat 7.x版本內web.xml配置文件內默認配置無readonly參數,需要手工添加,默認配置條件下不受此漏洞影響。
- CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext參數,經過實際測試,Tomcat 7.x版本內默認配置無VirtualDirContext參數,需要手工添加,默認配置條件下不受此漏洞影響。
漏洞影響范圍:
- CVE-2017-12616影響范圍:Apache Tomcat 7.0.0 - 7.0.80
- CVE-2017-12615影響范圍: Apache Tomcat 7.0.0 - 7.0.79
漏洞檢測:
開發人員檢查是否使用受影響范圍內的Apache Tomcat版本
漏洞修復建議(或緩解措施):
- 根據業務評估配置readonly和VirtualDirContext值為Ture或注釋參數,臨時規避安全風險;
- 目前官方已經發布了7.0.81版本修復了兩個漏洞,建議用戶盡快升級到最新版本。
情報來源: