Tomcat对CVE-2017-12615和CVE-2017-12616: Tomcat安全漏洞问题

27 09月

作者:admin|分类:应用管理

针对CVE-2017-12615和CVE-2017-12616: Tomcat安全漏洞问题做重要预警。如您尚未完成相关漏洞的修复工作，强烈建议您参考下文立即执行解决方案。

Apache Tomcat于2017年09月19日发布漏洞修复公告：

CVE-2017-12615：

运行在Windows主机上Tomcat，如果开启了HTTP请求的PUT方法，利用精心构造的请求，可向服务器上传任意JSP文件；当该JSP文件被请求访问时，文件中代码将在服务器执行；

CVE-2017-12616：

当Tomcat启用VirtualDirContext时，利用精心构造的请求，不但可以绕过安全相关的限制，还可以读取到由VirtualDirContext提供支持资源的JSP源代码；

漏洞危害：

CVE-2017-12615：该漏洞可导致远程代码执行，进而获取服务器权限；

CVE-2017-12616：该漏洞可导致JSP源代码泄露；

漏洞影响：

CVE-2017-12615： Apache Tomcat 7.0.0-7.0.79

CVE-2017-12616： Apache Tomcat 7.0.0-7.0.80

修复方案：

建议升级Tomcat到7.0.81；

漏洞来源：

https://tomcat.apache.org/security-7.html

更多文章推荐