全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多

【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

更新时间:2018-03-08 17:02:28

2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号为CVE-2017-12615和CVE-2017-12616。受该漏洞影响的Tomcat版本为7.0-7.80。在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上JSP文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件。通过上传的JSP文件,攻击者可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,带来高安全风险。阿里云提示您关注并尽快自查。

漏洞详情见下文。


漏洞编号

CVE-2017-12615

CVE-2017-12616

漏洞名称

CVE-2017-12615-远程代码执行漏洞

CVE-2017-12616-信息泄露漏洞

官方评级

高危

漏洞描述

  • CVE-2017-12615:远程代码执行漏洞

    当Tomcat运行在Windows操作系统,且启用了HTTP PUT请求方法(例如,将readonly初始化参数由默认值设置为false),攻击者将可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP文件。服务器在执行JSP文件中的恶意代码后,会导致数据泄露或获取服务器权限。

  • CVE-2017-12616:信息泄露漏洞

    当Tomcat中启用了VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过相关安全限制,或是获取到由VirtualDirContext提供支持资源服务的JSP源代码,从而造成代码信息泄露。

通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

漏洞利用条件和方式

CVE-2017-12615漏洞利用需要在Windows环境,且需要将readonly初始化参数由默认值设置为false。经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,即默认配置条件下不受此漏洞影响。

CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数。经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,即默认配置条件下不受此漏洞影响。

漏洞影响范围

  • CVE-2017-12616影响范围:Apache Tomcat 7.0.0 - 7.0.80
  • CVE-2017-12615影响范围:Apache Tomcat 7.0.0 - 7.0.79

漏洞检测

开发人员检查是否使用受影响范围内的Apache Tomcat版本。

漏洞修复建议(或缓解措施)

  • 临时规避安全风险:根据业务评估配置readonly和VirtualDirContext值为Ture或注释参数,禁用PUT方法并重启Tomcat。

    注意:如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。

  • 目前官方已经发布的7.0.81版本已修复这两个漏洞,建议您尽快升级到最新版本。

  • 您也可以选用阿里云云盾WAF进行防御。

情报来源

[1]. https://tomcat.apache.org/security-7.html
[2]. http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

本文导读目录