本文來源於阿里雲-雲棲社區,原文點擊這裏。
一. 漏洞概述
2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞,漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,該漏洞受影響版本爲7.0-7.80之間,官方評級爲高危,在一定條件下,攻擊者可以利用這兩個漏洞,獲取用戶服務器上 JSP 文件的源代碼,或是通過精心構造的攻擊請求,向用戶服務器上傳惡意JSP文件,通過上傳的 JSP 文件 ,可在用戶服務器上執行任意代碼,從而導致數據泄露或獲取服務器權限,存在高安全風險。
二. 漏洞基本信息
- 漏洞編號: CVE-2017-12616 CVE-2017-12615
- 漏洞名稱: CVE-2017-12615-遠程代碼執行漏洞 CVE-2017-12616-信息泄露漏洞
- 官方評級: 高危,實際測試漏洞危害較低
-
漏洞描述:
CVE-2017-12616:信息泄露漏洞
當Tomcat中啓用了 VirtualDirContext時,攻擊者將能通過發送精心構造的惡意請求,繞過設置的相關安全限制,或是獲取到由VirtualDirContext提供支持資源服務的JSP源代碼,從而造成代碼信息泄露。CVE-2017-12615:遠程代碼執行漏洞
當 Tomcat運行在Windows操作系統時,且啓用了HTTP PUT請求方法(例如,將 readonly 初始化參數由默認值設置爲 false),攻擊者將有可能可通過精心構造的攻擊請求數據包向服務器上傳包含任意代碼的 JSP 文件,JSP文件中的惡意代碼將能被服務器執行。導致服務器上的數據泄露或獲取服務器權限。
在一定的條件下,通過以上兩個漏洞可在用戶服務器上執行任意代碼,從而導致數據泄露或獲取服務器權限,存在高安全風險。
- CVE-2017-12615漏洞利用需要在Windows環境,且需要將 readonly 初始化參數由默認值設置爲 false,經過實際測試,Tomcat 7.x版本內web.xml配置文件內默認配置無readonly參數,需要手工添加,默認配置條件下不受此漏洞影響。
- CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext參數,經過實際測試,Tomcat 7.x版本內默認配置無VirtualDirContext參數,需要手工添加,默認配置條件下不受此漏洞影響。
- 影響範圍:
- CVE-2017-12615影響範圍: Apache Tomcat 7.0.0 - 7.0.79 (windows環境)
- CVE-2017-12616影響範圍:Apache Tomcat 7.0.0 - 7.0.80
3.1.環境搭建
Apache Tomcat默認開啓PUT方法,org.apache.catalina.servlets.DefaultServlet的readonly默認爲true,而且默認沒有在conf/web.xml裏寫,需要手工添加並且改爲false,纔可以測試。