【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-2017-12615和 CVE-2017-12616 ,该漏洞受影响版本为7.0-7.80之间， 在一定条件下，攻击者可以利用这两个漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。
阿里云提示您关注并尽快自查，具体详情如下:                                                                                                                                                            

---

漏洞编号:
CVE-2017-12615
CVE-2017-12616
漏洞名称:
CVE-2017-12615-远程代码执行漏洞
CVE-2017-12616- 信息泄露漏洞
官方评级:
高危
漏洞描述:
CVE-2017-12616：信息泄露漏洞
当 Tomcat 中使用了 VirtualDirContext 时，攻击者将能通过发送精心构造的恶意请求，绕过设置的相关安全限制，或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。
CVE-2017-12615：远程代码执行漏洞
当 Tomcat 运行在 Windows 主机上，且启用了 HTTP PUT 请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后，JSP 文件中的代码将能被服务器执行。
通过以上两个漏洞可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。
漏洞利用条件和方式:

• CVE-2017-12615漏洞利用需要在Windows环境，且需要将 readonly 初始化参数由默认值设置为 false，经过实际测试，Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数，需要手工添加，默认配置条件下不受此漏洞影响。
• CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数，经过实际测试，Tomcat 7.x版本内默认配置无VirtualDirContext参数，需要手工添加，默认配置条件下不受此漏洞影响。

漏洞影响范围:
CVE-2017-12616影响范围：Apache Tomcat 7.0.0 - 7.0.80
CVE-2017-12615影响范围： Apache Tomcat 7.0.0 - 7.0.79
漏洞检测:
开发人员检查是否使用 受影响范围内的Apache Tomcat版本
漏洞修复建议(或缓解措施):

• 根据业务评估配置readonly和VirtualDirContext值为True或注释参数，禁用PUT方法并重启tomcat，临时规避安全风险；

      注意： 如果禁用PUT方法，对于依赖PUT方法的应用，可能导致业务失效。

• 官方已经发布Apache Tomcat 7.0.81 版本修复了两个漏洞，建议阿里云用户尽快升级到最新版本；
• 可以选用阿里云云盾WAF进行防御

情报来源:

• https://tomcat.apache.org/security-7.html
• http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81