2017年9月19日，Apache Tomcat官方確認(rèn)并修復(fù)了兩個高危漏洞，漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,該漏洞受影響版本為7.0-7.80之間，在一定條件下，攻擊者可以利用這兩個漏洞，獲取用戶服務(wù)器上 JSP 文件的源代碼，或是通過精心構(gòu)造的攻擊請求，向用戶服務(wù)器上傳惡意JSP文件，通過上傳的 JSP 文件 ，可在用戶服務(wù)器上執(zhí)行任意代碼，從而導(dǎo)致數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限，存在高安全風(fēng)險。

阿里云提示您關(guān)注并盡快自查，具體詳情如下:

漏洞編號:

CVE-2017-12615

CVE-2017-12616

漏洞名稱:

CVE-2017-12615-遠(yuǎn)程代碼執(zhí)行漏洞

CVE-2017-12616-信息泄露漏洞

官方評級:

高危

漏洞描述:

CVE-2017-12616：信息泄露漏洞

當(dāng) Tomcat 中使用了 VirtualDirContext 時，攻擊者將能通過發(fā)送精心構(gòu)造的惡意請求，繞過設(shè)置的相關(guān)安全限制，或是獲取到由 VirtualDirContext 提供支持資源的 JSP 源代碼。

CVE-2017-12615：遠(yuǎn)程代碼執(zhí)行漏洞

當(dāng) Tomcat 運行在 Windows 主機(jī)上，且啟用了 HTTP PUT 請求方法（例如，將 readonly 初始化參數(shù)由默認(rèn)值設(shè)置為 false），攻擊者將有可能可通過精心構(gòu)造的攻擊請求向服務(wù)器上傳包含任意代碼的 JSP 文件。之后，JSP 文件中的代碼將能被服務(wù)器執(zhí)行。

通過以上兩個漏洞可在用戶服務(wù)器上執(zhí)行任意代碼，從而導(dǎo)致數(shù)據(jù)泄露或獲取服務(wù)器權(quán)限，存在高安全風(fēng)險。

漏洞利用條件和方式:

CVE-2017-12615漏洞利用需要在Windows環(huán)境，且需要將 readonly 初始化參數(shù)由默認(rèn)值設(shè)置為 false，經(jīng)過實際測試，Tomcat 7.x版本內(nèi)web.xml配置文件內(nèi)默認(rèn)配置無readonly參數(shù)，需要手工添加，默認(rèn)配置條件下不受此漏洞影響。

CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext參數(shù)，經(jīng)過實際測試，Tomcat 7.x版本內(nèi)默認(rèn)配置無VirtualDirContext參數(shù)，需要手工添加，默認(rèn)配置條件下不受此漏洞影響。

漏洞影響范圍:

CVE-2017-12616影響范圍：Apache Tomcat 7.0.0 - 7.0.80

CVE-2017-12615影響范圍： Apache Tomcat 7.0.0 - 7.0.79

漏洞檢測:

開發(fā)人員檢查是否使用受影響范圍內(nèi)的Apache Tomcat版本

漏洞修復(fù)建議(或緩解措施):

根據(jù)業(yè)務(wù)評估配置readonly和VirtualDirContext值為Ture或注釋參數(shù)并重啟tomcat，臨時規(guī)避安全風(fēng)險；

官方已經(jīng)發(fā)布Apache Tomcat7.0.81版本修復(fù)了兩個漏洞，建議阿里云用戶盡快升級到最新版本；

可以選用阿里云云盾WAF進(jìn)行防御

情報來源:

https://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

原文鏈接