开发者社区> 问答> 正文

【漏洞公告】CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞

2018年2月23日,Apache发布安全公告,公告显示 Apache Tomcat 7、8、9存在 安全绕过漏洞,CVE编号CVE-2018-1305、CVE-2018-1304,攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作。
由于 Apache Tomcat 使用较广泛,建议用户关注并开展自查工作。

具体详情如下:
        



漏洞编号:
CVE-2018-1305
CVE-2018-1304
漏洞名称:
CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞
官方评级:
中危
漏洞描述:
Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序,对于某些不应用的安全约束,恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户,导致敏感信息泄露。
漏洞利用条件和方式:
通过PoC直接远程利用。
PoC状态:
未公开
漏洞影响范围:
以下版本受到影响:
  • 9版本(9.0.0.M1到9.0.4)
  • 8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
  • 7版本(7.0.0到7.0.84)

安全版本:
  • 大于或等于Apache Tomcat 9.0.5版本
  • 大于或等于Apache Tomcat 8.5.28版本
  • 大于或等于Apache Tomcat 8.0.50版本
  • 大于或等于Apache Tomcat 7.0.85版本

漏洞检测:
开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。
漏洞修复建议(或缓解措施):
目前官方已提供安全更新版本下载:

提示:建议您在修复漏洞前做好测试工作,同时使用ECS快照功能做好数据备份工作。
情报来源:






































展开
收起
正禾 2018-02-27 20:39:13 19069 0
1 条回答
写回答
取消 提交回答
  • Re【漏洞公告】CVE-2018-1305/CVE-2018-1304Apache Tomcat安全机制绕过漏洞
    你好,这个是什么漏洞,怎么检测系统上存在这样的漏洞?
    2018-03-02 17:24:06
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
Apache Flink技术进阶 立即下载
Apache Spark: Cloud and On-Prem 立即下载
Hybrid Cloud and Apache Spark 立即下载

相关实验场景

更多

相关镜像