【漏洞预警】Apache Tomcat 远程代码执行漏洞

原创 时间 2017-09-20  追风小组 神月资讯

2017年9月19日晚,Apache Struts发布安全公告,该公告指出,在Windows上运行Apache Tomcat,如果开启HTTP PUT方法支持(例如通过将默认的readonly初始化参数设置为false,默认不配置readonly,在web.xml文件中可以设置readonly)。

综述

2017年9月19日晚,Apache Struts发布安全公告,该公告指出,在Windows上运行Apache Tomcat,如果开启HTTP PUT方法支持(例如通过将默认的readonly初始化参数设置为false默认不配置readonly,在web.xml文件中可以设置readonly),攻击者可以构造特殊的请求将JSP(webshell)文件上传到服务器,然后可以通过JSP(webshell)执行任意代码,导致远程代码执行。

相关链接如下:

http://mail-archives.apache.org/mod_mbox/www-announce/201709.mbox/%3C81e3acd3-f335-ff0d-ae89-bf44bb66fca0@apache.org%3E

问题

在Tomcat的conf目录下的web.xml配置readonly设置为false时,将导致该漏洞产生:

    <servlet>

        <servlet-name>default</servlet-name>

        <servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class>

        <init-param>

            <param-name>debug</param-name>

            <param-value>0</param-value>

        </init-param>

        <init-param>

            <param-name>listings</param-name>

            <param-value>false</param-value>

        </init-param>

        <init-param>

            <param-name>readonly</param-name>

            <param-value>false</param-value><!--not safe-->

        </init-param>

        <load-on-startup>1</load-on-startup>

    </servlet>

漏洞作者

iswin from 360-sg-lab (360观星实验室)

影响版本

Apache Tomcat 7.0.0 to 7.0.79

漏洞等级

Important(重要)

修复方案

1. 通过测试,注释掉readonly配置或配置readonly的值为true时PUT不生效

2.升级到Apache Tomcat更高版本(7.0.80没有公布),经测试发现 7.0.81版本存在未完全修复情况

下载地址:http://tomcat.apache.org/download-70.cgi


参考:

http://mail-archives.apache.org/mod_mbox/www-announce/201709.mbox/%3C81e3acd3-f335-ff0d-ae89-bf44bb66fca0@apache.org%3E

https://lists.apache.org/thread.html/22b4bb077502f847e2b9fcf00b96e81e734466ab459780ff73b60c0f@%3Cannounce.tomcat.apache.org%3E

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12615

1505464429413535.jpg

下一篇>>