• QQ咨询

  • 在线咨询
  • 技术支持QQ
  • welcome
  • 培训咨询QQ
  • welcome

. 首页 > 关于SBR > 新闻中心

【高危预警】Apache Tomcat远程代码执行漏洞(CVE-2017-12615)

 

作为一家专业的网络安全服务供应商,圣博润特别注重对最新安全漏洞的发现和追踪,以“及时性、准确性、层次性”为宗旨,为用户提供漏洞预警、通告及响应服务。

漏洞描述

 

 

漏洞分析

 

Tomcat是Apache 软件基金会(Apache Software Foundation)开发一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不高的场合下被普遍使用,是开发和调试JSP 程序的首选。

近日,Apache Tomcat官方确认并修复了远程代码执行漏洞(CNVD-2017-27472、 CVE-2017-12615)。当 Tomcat运行在Windows操作系统时,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行。这将导致服务器上的数据泄露或获取服务器权限。CNVD(国家信息安全漏洞共享平台)对上述漏洞的综合评级为“高危”。

受影响版本:Apache Tomcat 7.0.0 - 7.0.79

不受影响版本:Apache Tomcat 7.0.81、Apache Tomcat 8.x、Apache Tomcat 9.x。

 

修复建议和方案

 

1.临时防护方案

用户可以通过禁用PUT方法来防护此漏洞,操作方式如下:

在Tomcat的web.xml文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数
<init-param>  
    <param-name>readonly</param-name>  
    <param-value>true</param-value>  
</init-param>  
确保readonly参数为true(默认值),即不允许DELETE和PUT操作。

注意:

如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。

 

2.版本升级方案

用户可根据实际情况升级Apache Tomcat版本至 Apache Tomcat 7.0.81或更高版本,详情参见官网:http://tomcat.apache.org/download-70.cgi#7.0.81 。 

 

资料参考

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27472

http://mail-archives.apache.org/mod_mbox/www-announce/201709.mbox/%3C81e3acd3-f335-ff0d-ae89-bf44bb66fca0@apache.org%3E

http://mp.weixin.qq.com/s?__biz=MjM5ODYyMTM4MA==&mid=2650389407&idx=1&sn=d8c0235cadc566dfeb830514b22a1123&chksm=becae23489bd6b22c3d4f194ef9584677ddd218de923d7b2d615b1b6d992797de472107565f4&mpshare=1&scene=1&srcid=092093uIqFPyxpvFXx7Ltgoq#rd