你好,游客 登录 注册 搜索
背景:
阅读新闻

CNNVD关于Apache Tomcat安全绕过漏洞情况的通报

[日期:2017-07-28] 来源:freebuf.com  作者:Linux [字体: ]

近日,国家信息安全漏洞库(CNNVD)收到关于ApacheTomcat安全绕过漏洞(CNNVD-201706-192)情况的报送。攻击者可利用该漏洞绕过安全限制,执行未授权的操作。目前,Apache官方已针对上述漏洞发布修复补丁。CNNVD对此进行了跟踪分析,具体情况如下:

一、  漏洞简介

ApacheTomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。Default Servlet是其中的一个对静态资源进行处理的类。

如果Apache Tomcat中的Default Servlet是配置为允许写入,就可能引发安全绕过漏洞(CNNVD-201706-192,CVE-2017-5664) 。攻击者可利用该漏洞绕过安全限制,执行未授权的操作。以下版本受到影响:Apache Tomcat 9.0.0.M1版本至9.0.0.M20版本,8.5.0版本至8.5.14版本,8.0.0.RC1版本至8.0.43版本,7.0.0版本至7.0.77版本。

二、  漏洞危害

攻击者可以利用该漏洞将用户的请求重定向到错误页面,发起恶意攻击。据统计,全球共有两百多万个网站部署该服务器,中国占近35%,影响范围较大。

三、  修复建议

目前,Apache官方已针对该漏洞发布修复补丁,CNNVD建议部署使用Apache Tomcat的单位及时检查是否受影响,若受影响,及时升级补丁以修复漏洞,补丁获取链接如下:

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

本报告由CNNVD技术支撑单位——北京白帽汇科技有限公司、北京神州绿盟科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

联系方式: cnnvd@itsec.gov.cn

本文永久更新链接地址http://www.linuxidc.com/Linux/2017-07/145935.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款