【漏洞公告】CVE-2017-5664:Apache Tomcat安全限制绕过漏洞-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

【漏洞公告】CVE-2017-5664:Apache Tomcat安全限制绕过漏洞

正禾 2017-06-16 11:02:22 9325
2017年6月12日,Apache Tomcat是一个流行的开源JSP应用服务器程序, Apache Tomcat 9.0.0.M1-9.0.0.M20, 8.5.0-8.5.14, 8.0.0.RC1-8.0.43, 7.0.0-7.0.77版本,在错误页面的实现机制中存在安全漏洞,根据源请求会导致意外结果,比如若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。
具体详情如下:                                 
                                            
漏洞编号:
CVE-2017-5664
漏洞名称:
Apache Tomcat安全限制绕过漏洞
官方评级:
高危
漏洞描述:
攻击者可以利用该漏洞 构造恶意请求会导致文件删除,比如若DefaultServlet配置为允许写,对于静态错误页面,可能会替换或删除自定义错误页面等。
  • Debian

https://security-tracker.debian.org/tracker/CVE-2017-5664
  • Red Hat Enterprise Linux/CentOS

https://access.redhat.com/security/cve/CVE-2017-5664
  • openSUSE

https://www.suse.com/security/cve/CVE-2017-5664
漏洞利用条件和方式:
远程利用
漏洞影响范围:
  • Apache Group Tomcat 9.0.0.M1-9.0.0.M20
  • Apache Group Tomcat 8.5.0-8.5.14
  • Apache Group Tomcat 8.0.0.RC1-8.0.43
  • Apache Group Tomcat 7.0.0-7.0.77

漏洞检测:

漏洞修复建议(或缓解措施):
  • 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载最新版本。
情报来源:
  • http://tomcat.apache.org/security-9.html
  • http://tomcat.apache.org/security-8.html
  • http://tomcat.apache.org/security-7.html






















安全 Java 应用服务中间件 Linux Apache
分享到
取消 提交回答
全部回答(0)

集结各类场景实战经验,助你开发运维畅行无忧

推荐文章
相似问题