搜文章
推荐 原创 视频 Java开发 iOS开发 前端开发 JavaScript开发 Android开发 PHP开发 数据库 开发工具 Python开发 Kotlin开发 Ruby开发 .NET开发 服务器运维 开放平台 架构师 大数据 云计算 人工智能 开发语言 其它开发
Lambda在线 > 安恒信息 > 重要 | Apache Tomcat绕过漏洞预警

重要 | Apache Tomcat绕过漏洞预警

安恒信息 2018-03-01

安全漏洞

2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告:

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

对应CVE:CVE-2018-1305、CVE-2018-1304


根据公告,漏洞存在于7.*到9.*版本,存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的Web应用程序资源的可能,直接影响到系统的安全性,建议及时升级安全更新补丁。

漏洞分析

漏洞主要因为Tomcat实现的安全性约束注释应用太迟和映射到上下文根被忽略,从而导致恶意用户可能能够绕过安全限制,来访问目标系统表面上受限制的Web应用程序资源。

漏洞利用

通过该漏洞恶意用户可能能够访问到目标网站上的Web应用程序资源,比如安全配置文件等。

影响范围

以下版本受到影响:

9.*版本(9.0.0.M1到9.0.4)

8.*版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)

7.*版本(7.0.0到7.0.84)

目前官方已提供安全更新版本下载(漏洞修复后版本):

9.*版本(9.0.5以后版本)

8.*版本(8.5.28以后版本)

8.*版本(8.0.50以后版本)

7.*版本(7.0.85以后版本)

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

威胁等级

高危:目前漏洞细节和测试代码暂未公开,但建议及时升级安全更新版本,或是部署WAF等安全防护设备监控漏洞利用情况。

安全建议

Apache Tomcat历史上报过多次安全漏洞,建议使用该产品的企业通过部署安全防护设备及时防御和随时关注安全更新公告。

参考文档

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E



- END -



上周热门文章TOP3



版权声明:本站内容全部来自于腾讯微信公众号,属第三方自助推荐收录。《重要 | Apache Tomcat绕过漏洞预警》的版权归原作者「安恒信息」所有,文章言论观点不代表Lambda在线的观点, Lambda在线不承担任何法律责任。如需删除可联系QQ:516101458

文章来源: 阅读原文

相关阅读

关注安恒信息微信公众号

安恒信息微信公众号:DBAPP2013

安恒信息

手机扫描上方二维码即可关注安恒信息微信公众号

安恒信息最新文章

精品公众号随机推荐