微慑信息网

Apache Tomcat绕过漏洞预警

安全漏洞

2018年2月23日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告:

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

对应CVE:CVE-2018-1305、CVE-2018-1304

根据公告,漏洞存在于7.*到9.*版本,存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的Web应用程序资源的可能,直接影响到系统的安全性,建议及时升级安全更新补丁。

漏洞分析

漏洞主要因为Tomcat实现的安全性约束注释应用太迟和映射到上下文根被忽略,从而导致恶意用户可能能够绕过安全限制,来访问目标系统表面上受限制的Web应用程序资源。

漏洞利用

通过该漏洞恶意用户可能能够访问到目标网站上的Web应用程序资源,比如安全配置文件等。

影响范围

以下版本受到影响:

9.*版本(9.0.0.M1到9.0.4)

8.*版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)

7.*版本(7.0.0到7.0.84)

目前官方已提供安全更新版本下载(漏洞修复后版本):

9.*版本(9.0.5以后版本)

8.*版本(8.5.28以后版本)

8.*版本(8.0.50以后版本)

7.*版本(7.0.85以后版本)

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

威胁等级

高危:目前漏洞细节和测试代码暂未公开,但建议及时升级安全更新版本,或是部署WAF等安全防护设备监控漏洞利用情况。

安全建议

Apache Tomcat历史上报过多次安全漏洞,建议使用该产品的企业通过部署安全防护设备及时防御和随时关注安全更新公告。

参考文档

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Apache Tomcat绕过漏洞预警

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册