信息來(lái)源:FreeBuf
近日,國(guó)家信息安全漏洞庫(kù)(CNNVD)接到有關(guān)Apache Tomcat存在遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201709-899)情況的報(bào)送。9月19日����,Apache官方網(wǎng)站針對(duì)上述漏洞發(fā)布了安全公告,提供了最新版的升級(jí)補(bǔ)?�。?/span>Apache Tomcat 7.0.81)�����,但經(jīng)分析�,該補(bǔ)丁未能完全修復(fù)此漏洞����,且相關(guān)細(xì)節(jié)已在互聯(lián)網(wǎng)上公布����,建議受影響用戶密切關(guān)注Apache官方網(wǎng)站,或采用臨時(shí)緩解措施�����。
一、漏洞簡(jiǎn)介
Apache Tomcat是美國(guó)阿帕奇(Apache)軟件基金會(huì)下屬的Jakarta項(xiàng)目的一款輕量級(jí) Web應(yīng)用服務(wù)器���,它主要用于開(kāi)發(fā)和調(diào)試JSP程序�����,適用于中小型系統(tǒng)�。
Apache Tomcat 7.0.0 – 7.0.79版本存在遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201709-899����,CVE-2017-12615 )。當(dāng)上述版本的Tomcat啟用HTTP PUT請(qǐng)求方法時(shí)�,遠(yuǎn)程攻擊者可以構(gòu)造惡意請(qǐng)求向服務(wù)器上傳包含任意代碼執(zhí)行的jsp 文件,并被服務(wù)器執(zhí)行該文件�,導(dǎo)致攻擊者可以執(zhí)行任意代碼。
二��、漏洞危害
Apache Tomcat 7.0.0 – 7.0.79版本受該漏洞影響���,攻擊者可能利用該漏洞遠(yuǎn)程執(zhí)行代碼���。
三、安全建議
目前����,Apache官方已針對(duì)上述漏洞發(fā)布了升級(jí)補(bǔ)?���。?/span>Apache Tomcat 7.0.81)�����,但經(jīng)分析�,該補(bǔ)丁未能完全修復(fù)此漏洞,建議受影響用戶密切關(guān)注 Apache官方網(wǎng)站�,及時(shí)獲取最新的漏洞修復(fù)措施?;虿捎萌缦屡R時(shí)緩解措施:
【臨時(shí)緩解】
禁用HTTP PUT方法(一般情況下該方法默認(rèn)不開(kāi)啟)。
參考鏈接:
http://tomcat.apache.org/download-70.cgi#7.0.81
本報(bào)告由CNNVD技術(shù)支撐單位——江南天安獵戶攻防實(shí)驗(yàn)室����、360企業(yè)安全集團(tuán)提供支持。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況����,及時(shí)發(fā)布相關(guān)信息�。如有需要,可與CNNVD及時(shí)聯(lián)系�。
聯(lián)系方式: cnnvd@itsec.gov.cn
