信息來源:FreeBuf
近日,國家信息安全漏洞庫(CNNVD)接到有關(guān)Apache Tomcat存在遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201709-899)情況的報送����。9月19日�����,Apache官方網(wǎng)站針對上述漏洞發(fā)布了安全公告���,提供了最新版的升級補丁(Apache Tomcat 7.0.81)�����,但經(jīng)分析���,該補丁未能完全修復(fù)此漏洞�����,且相關(guān)細(xì)節(jié)已在互聯(lián)網(wǎng)上公布���,建議受影響用戶密切關(guān)注Apache官方網(wǎng)站,或采用臨時緩解措施���。
一���、漏洞簡介
Apache Tomcat是美國阿帕奇(Apache)軟件基金會下屬的Jakarta項目的一款輕量級 Web應(yīng)用服務(wù)器,它主要用于開發(fā)和調(diào)試JSP程序�����,適用于中小型系統(tǒng)���。
Apache Tomcat 7.0.0 – 7.0.79版本存在遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201709-899����,CVE-2017-12615 )��。當(dāng)上述版本的Tomcat啟用HTTP PUT請求方法時����,遠(yuǎn)程攻擊者可以構(gòu)造惡意請求向服務(wù)器上傳包含任意代碼執(zhí)行的jsp 文件,并被服務(wù)器執(zhí)行該文件����,導(dǎo)致攻擊者可以執(zhí)行任意代碼。
二���、漏洞危害
Apache Tomcat 7.0.0 – 7.0.79版本受該漏洞影響���,攻擊者可能利用該漏洞遠(yuǎn)程執(zhí)行代碼�。
三�����、安全建議
目前��,Apache官方已針對上述漏洞發(fā)布了升級補?���。?/span>Apache Tomcat 7.0.81),但經(jīng)分析���,該補丁未能完全修復(fù)此漏洞��,建議受影響用戶密切關(guān)注 Apache官方網(wǎng)站�,及時獲取最新的漏洞修復(fù)措施�����?��;虿捎萌缦屡R時緩解措施:
【臨時緩解】
禁用HTTP PUT方法(一般情況下該方法默認(rèn)不開啟)���。
參考鏈接:
http://tomcat.apache.org/download-70.cgi#7.0.81
本報告由CNNVD技術(shù)支撐單位——江南天安獵戶攻防實驗室��、360企業(yè)安全集團(tuán)提供支持����。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況���,及時發(fā)布相關(guān)信息。如有需要���,可與CNNVD及時聯(lián)系�����。
聯(lián)系方式: cnnvd@itsec.gov.cn
