发布于 2017-09-20 08:20:39 | 158 次阅读 | 评论: 0 | 来源: 网友投递
Tomcat 开源Web应用服务器
Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。
2017年9月19日,腾讯云安全中心监测到 Apache Tomcat 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码。
信息泄露漏洞(CVE-2017-12616)
当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。
远程代码执行漏洞(CVE-2017-12615)
当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后,JSP 文件中的代码将能被服务器执行。
泄露用户代码数据,或用户服务器被攻击者控制
信息泄露漏洞(CVE-2017-12616)影响:Apache Tomcat 7.0.0 - 7.0.80
远程代码执行漏洞(CVE-2017-12615)影响: Apache Tomcat 7.0.0 - 7.0.79
升级至 Apache Tomcat 7.0.81 版本,详细参见官网:http://tomcat.apache.org/download-70.cgi#7.0.81