Tomcat信息泄露与远程代码执行漏洞

一、类型

web

二、概要描述

Tomcat是Apache 软件基金会的Jakarta 项目中的一个核心项目，是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

2017年9月19日，Apache Tomcat官方 修复了2个严重级别的漏洞， 分别为： 信息泄露漏洞（CVE-2017-12616）、远程代码执行漏洞（CVE-2017-12615），在某些场景下，攻击者将分别能通过这两个漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意 JSP 文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码。

三、影响范围

1、 信息泄露漏洞（CVE-2017-12616）影响范围：

Apache Tomcat 7.0.0 – 7.0.80

2、 远程代码执行漏洞（CVE-2017-12615）影响范围：

Apache Tomcat 7.0.0 – 7.0.79

四、危害

泄露用户代码数据，或用户服务器被攻击者控制

五、技术细节

1.信息泄露漏洞（CVE-2017-12616）

当 Tomcat 中使用了 VirtualDirContext 时，攻击者将能通过发送精心构造的恶意请求，绕过设置的相关安全限制，或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。

2.远程代码执行漏洞（CVE-2017-12615）

当 Tomcat 运行在 Windows 主机上，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后，JSP 文件中的代码将能被服务器执行。

六、检测方法

查看所使用的tomcat版本是否在受影响范围内

Windwos：进入tomcat安装目录的bin目录，在cmd下输入version命令

Linux：进入tomcat的bin目录下执行version.sh脚本

七、修复建议

升级到Apache Tomcat 7.0.81版本

http://tomcat.apache.org/download-70.cgi#7.0.81

八、参考

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

http://www.openwall.com/lists/oss-security/2017/09/19/1

http://www.openwall.com/lists/oss-security/2017/09/19/2