针对CVE-2017-12615和CVE-2017-12616: Tomcat安全漏洞问题做重要预警。如您尚未完成相关漏洞的修复工作,强烈建议您参考下文立即执行解决方案。
Apache Tomcat于2017年09月19日发布漏洞修复公告:
CVE-2017-12615:
运行在Windows主机上Tomcat,如果开启了HTTP请求的PUT方法,利用精心构造的请求,可向服务器上传任意JSP文件;当该JSP文件被请求访问时,文件中代码将在服务器执行;
CVE-2017-12616:
当Tomcat启用VirtualDirContext时,利用精心构造的请求,不但可以绕过安全相关的限制,还可以读取到由VirtualDirContext提供支持资源的JSP源代码;
漏洞危害:
CVE-2017-12615: 该漏洞可导致远程代码执行,进而获取服务器权限;
CVE-2017-12616: 该漏洞可导致JSP源代码泄露;
漏洞影响:
CVE-2017-12615: Apache Tomcat 7.0.0-7.0.79
CVE-2017-12616: Apache Tomcat 7.0.0-7.0.80
修复方案:
建议升级Tomcat到7.0.81;
漏洞来源:
https://tomcat.apache.org/security-7.html