当前位置: 首页 >> 新闻动态 >> 通知公告 >> 正文

通知公告

关于加强防范Apache Tomcat 曝出信息泄漏和远程代码执行漏洞的通知
日期:2017-09-20

2017年9月19日,Apache Tomcat修复了2个严重级别的漏洞,分别为:信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615),在某些场景下,攻击者将分别能通过这两个漏洞,获取用户服务器上JSP文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的JSP文件,可在用户服务器上执行任意代码。为避免您的服务器受影响,请各系统管理员及时查看相关漏洞情况,开展安全自查以避免被恶意攻击者利用。

漏洞概述

信息泄露漏洞(CVE-2017-12616):当Tomcat中使用了VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由VirtualDirContext提供支持资源的JSP源代码。

远程代码执行漏洞(CVE-2017-12615):当Tomcat运行在Windows主机上,且启用了HTTP PUT请求方法(例如,将readonly初始化参数由默认值设置为false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的JSP文件。之后,JSP文件中的代码将能被服务器执行。

漏洞危害

泄露用户代码数据,或用户服务器被攻击者控制。

影响版本

信息泄露漏洞(CVE-2017-12616)影响:Apache Tomcat 7.0.0 - 7.0.80

远程代码执行漏洞(CVE-2017-12615)影响:Apache Tomcat 7.0.0 - 7.0.79

修复建议

升级至Apache Tomcat 7.0.81版本,详细参见官网:

http://tomcat.apache.org/download-70.cgi#7.0.81

参考链接

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

http://www.openwall.com/lists/oss-security/2017/09/19/1

http://www.openwall.com/lists/oss-security/2017/09/19/2


上一条:关于优化网络安全管理的通知
下一条:关于无线网校际漫游认证系统升级的通知

关闭

技术支持:信息化建设与管理中心

地址:江苏省无锡市蠡湖大道1800号

邮编:214122

联系电话:0510-85912032

服务邮箱:netser@jiangnan.edu.cn