安全動態(tài)

CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全機(jī)制繞過漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2018-02-28    瀏覽次數(shù):
 

信息來源:阿里云

        2018年2月23日,Apache發(fā)布安全公告,公告顯示Apache Tomcat 7、8、9存在安全繞過漏洞,CVE編號CVE-2018-1305、CVE-2018-1304,攻擊者可以利用這個問題,繞過某些安全限制來執(zhí)行未經(jīng)授權(quán)的操作。 
由于Apache Tomcat 使用較廣泛,建議用戶關(guān)注并開展自查工作。 
 
具體詳情如下:  
漏洞編號: 
        CVE-2018-1305 
        CVE-2018-1304 
漏洞名稱: 
        CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全機(jī)制繞過漏洞 
官方評級: 
        中危 
漏洞描述: 
        Apache Tomcat servlet 注釋定義的安全約束,只在servlet加載后才應(yīng)用一次。該漏洞是由于由于以這種方式定義的安全約束,應(yīng)用于URL模式及該點(diǎn)下任何URL,很可能取決于servlet加載的次序,對于某些不應(yīng)用的安全約束,惡意攻擊者利用該漏洞可能會將資源暴露給未經(jīng)授權(quán)訪問用戶,導(dǎo)致敏感信息泄露。 

漏洞利用條件和方式: 
        通過PoC直接遠(yuǎn)程利用。 
PoC狀態(tài): 
        未公開 
漏洞影響范圍: 
        以下版本受到影響: 
        9版本(9.0.0.M1到9.0.4)
        8版本(8.5.0到8.5.27, 8.0.0.RC1到8.0.49)
        7版本(7.0.0到7.0.84)
安全版本: 
        大于或等于Apache Tomcat 9.0.5版本
        大于或等于Apache Tomcat 8.5.28版本
        大于或等于Apache Tomcat 8.0.50版本
        大于或等于Apache Tomcat 7.0.85版本
漏洞檢測: 
        開發(fā)人員檢查是否使用了受影響版本范圍內(nèi)的Apache Tomcat版本。 
漏洞修復(fù)建議(或緩解措施): 
目前官方已提供安全更新版本下載: 
        9版本(9.0.5以后版本):
        https://tomcat.apache.org/download-70.cgi
        8版本(8.5.28以后版本):
        https://tomcat.apache.org/download-80.cgi
        7版本(7.0.85以后版本):
        https://tomcat.apache.org/download-90.cgi
 
提示:建議您在修復(fù)漏洞前做好測試工作。

 
 

上一篇:信息網(wǎng)絡(luò)安全的隱患及防護(hù)

下一篇:2018年02月28日 聚銘安全速遞