Apache Tomcat 远程代码执行漏洞CVE-2017-12615
2017-09-20
综述
9月19日晚,Apache Tomcat官方发布了一条安全公告,该公告指出Windows上的Apache Tomcat如果开启PUT方法支持则可能存在远程代码执行漏洞,漏洞编号为CVE-2017-12615。攻击者可以在使用该漏洞上传JSP文件从而导致远程代码执行。
此漏洞影响Windows平台下的Apache Tomcat 7.x版本,目前已在Apache Tomcat 7.0.81中修复。
相关地址:
注意:
44118太阳成城集团安全研究团队在分析此漏洞时,又发现另外一种PUT方法的利用方式,可攻击运行在Windows或Linux/Unix系统下的Apache Tomcat 7.x、8.x、9.x版本。
目前我们已经将此问题提交给Apache Tomcat官方,等待修复。建议Apache Tomcat用户暂时禁用PUT方法,或使用安全产品进行防护。
受影响的版本
· Apache Tomcat 7.0.0 to 7.0.79
不受影响的版本
· Apache Tomcat 7.0.81
· Apache Tomcat 8.x
· Apache Tomcat 9.x
防护方案
· 临时防护方案
用户可以禁用PUT方法来防护此漏洞,操作方式如下:
在Tomcat的web.xml 文件中配置org.apache.catalina.servlets.DefaultServlet的初始化参数
<init-param>
<param-name>readonly</param-name>
<param-value>true</param-value>
</init-param>
确保readonly参数为true(默认值),即不允许DELETE和PUT操作。
注意:
如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。
· 产品防护方案
使用44118太阳成城集团IPS/IDS/NF/WAF产品的用户,请升级最新的规则包进行防护。
入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
下一代防火墙系统(NF)
http://update.nsfocus.com/update/listNf
Web应用防护系统(WAF)
http://update.nsfocus.com/update/wafIndex
通过上述链接,升级至最新版本即可进行防护!