【漏洞公告】CVE-2017-5664:Apache Tomcat安全限制绕过漏洞
2017年6月12日,Apache Tomcat是一个流行的开源JSP应用服务器程序,
Apache Tomcat 9.0.0.M1-9.0.0.M20, 8.5.0-8.5.14, 8.0.0.RC1-8.0.43, 7.0.0-7.0.77版本,在错误页面的实现机制中存在安全漏洞,根据源请求会导致意外结果,比如若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。
具体详情如下:
漏洞编号:
CVE-2017-5664
漏洞名称:
Apache Tomcat安全限制绕过漏洞
官方评级:
高危
漏洞描述:
攻击者可以利用该漏洞 构造恶意请求会导致文件删除,比如若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。
- Debian
https://security-tracker.debian.org/tracker/CVE-2017-5664
- Red Hat Enterprise Linux/CentOS
https://access.redhat.com/security/cve/CVE-2017-5664
- openSUSE
https://www.suse.com/security/cve/CVE-2017-5664
漏洞利用条件和方式:
远程利用
漏洞影响范围:
- Apache Group Tomcat 9.0.0.M1-9.0.0.M20
- Apache Group Tomcat 8.5.0-8.5.14
- Apache Group Tomcat 8.0.0.RC1-8.0.43
- Apache Group Tomcat 7.0.0-7.0.77
漏洞检测:
无
漏洞修复建议(或缓解措施):
- 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载最新版本。
- http://tomcat.apache.org/security-9.html
- http://tomcat.apache.org/security-8.html
- http://tomcat.apache.org/security-7.html
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
针对您提到的Apache Tomcat安全限制绕过漏洞(CVE-2017-5664),确实存在影响多个版本Tomcat的情况,可能导致攻击者通过构造恶意请求来替换或删除自定义错误页面等。为了确保您的系统安全,建议采取以下措施:
-
检查受影响版本:首先确认您的Apache Tomcat服务器是否运行在受影响的版本范围内。根据您提供的信息,这包括但不限于Tomcat 9.0.0.M1至9.0.0.M20、8.5.0至8.5.14、8.0.0.RC1至8.0.43以及7.0.0至7.0.77。
-
升级Tomcat:访问Apache Tomcat的官方网站,查看并下载最新的稳定版本进行升级。这是解决该漏洞最直接有效的方法。您可以分别参考以下链接获取对应版本的安全更新:
- Tomcat 9 Security
- Tomcat 8 Security
- Tomcat 7 Security
-
配置调整:如果立即升级不可行,考虑调整相关配置以减轻风险,比如确保DefaultServlet不允许写操作,或者使用动态错误页面而非静态页面,以减少被利用的风险。
-
监控与日志:增强系统监控和日志记录,特别是对异常请求和错误页面访问的记录,以便及时发现潜在的攻击行为。
-
补丁应用:虽然您提到“无”漏洞检测,但通常情况下,对于已知的安全漏洞,厂商会提供补丁或临时解决方案。请再次查阅官方公告或社区论坛,看是否有适用的安全补丁发布。
-
关注官方通告:持续关注Apache Tomcat的官方安全公告和邮件列表,以便获取最新的安全信息和修复指南。
如果您使用的是阿里云的产品和服务,例如ECS实例上部署了Tomcat,可以通过阿里云的安全产品如云安全中心来帮助检测和防御此类安全威胁,并且可以利用阿里云镜像市场获取经过安全加固的操作系统镜像,其中可能已经包含了此漏洞的修复。同时,阿里云也会在其官方文档和安全公告中提供必要的指导和帮助。
