【漏洞公告】Tomcat信息泄漏和遠程代碼執行漏洞：CVE-2017-12615/CVE-2017-12616

2017年9月19日，Apache Tomcat官方確認並修復了兩個高危漏洞，漏洞CVE編號:CVE-2017-12615和CVE-2017-12616,該漏洞受影響版本爲7.0-7.80之間，在必定條件下，攻擊者能夠利用這兩個漏洞，獲取用戶服務器上 JSP 文件的源代碼，或是經過精心構造的攻擊請求，向用戶服務器上傳惡意JSP文件，經過上傳的 JSP 文件 ，可在用戶服務器上執行任意代碼，從而致使數據泄露或獲取服務器權限，存在高安全風險。

 

漏洞編號:

CVE-2017-12615

CVE-2017-12616

漏洞名稱:

CVE-2017-12615-遠程代碼執行漏洞

CVE-2017-12616-信息泄露漏洞

官方評級:

高危

漏洞描述:

• CVE-2017-12616：信息泄露漏洞

  當Tomcat中啓用了 VirtualDirContext時，攻擊者將能經過發送精心構造的惡意請求，繞過設置的相關安全限制，或是獲取到由VirtualDirContext提供支持資源服務的JSP源代碼，從而形成代碼信息泄露。

• CVE-2017-12615：遠程代碼執行漏洞

  當 Tomcat運行在Windows操做系統時，且啓用了HTTP PUT請求方法（例如，將 readonly 初始化參數由默認值設置爲 false），攻擊者將有可能可經過精心構造的攻擊請求數據包向服務器上傳包含任意代碼的 JSP 文件，JSP文件中的惡意代碼將能被服務器執行。致使服務器上的數據泄露或獲取服務器權限。

經過以上兩個漏洞可在用戶服務器上執行任意代碼，從而致使數據泄露或獲取服務器權限，存在高安全風險。

漏洞利用條件和方式:

• CVE-2017-12615漏洞利用須要在Windows環境，且須要將 readonly 初始化參數由默認值設置爲 false，通過實際測試，Tomcat 7.x版本內web.xml配置文件內默認配置無readonly參數，須要手工添加，默認配置條件下不受此漏洞影響。
• CVE-2017-12616漏洞須要在server.xml文件配置VirtualDirContext參數，通過實際測試，Tomcat 7.x版本內默認配置無VirtualDirContext參數，須要手工添加，默認配置條件下不受此漏洞影響。

漏洞影響範圍:

• CVE-2017-12616影響範圍：Apache Tomcat 7.0.0 - 7.0.80
• CVE-2017-12615影響範圍： Apache Tomcat 7.0.0 - 7.0.79

漏洞檢測:

開發人員檢查是否使用受影響範圍內的Apache Tomcat版本

漏洞修復建議(或緩解措施):

• 根據業務評估配置readonly和VirtualDirContext值爲Ture或註釋參數，臨時規避安全風險；
• 目前官方已經發布了7.0.81版本修復了兩個漏洞，建議用戶儘快升級到最新版本。

情報來源:

• https://tomcat.apache.org/security-7.html
• http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81