信息來(lái)源：阿里云

        2018年2月23日，Apache發(fā)布安全公告，公告顯示Apache Tomcat 7、8、9存在安全繞過(guò)漏洞，CVE編號(hào)CVE-2018-1305、CVE-2018-1304，攻擊者可以利用這個(gè)問(wèn)題，繞過(guò)某些安全限制來(lái)執(zhí)行未經(jīng)授權(quán)的操作。 
由于Apache Tomcat 使用較廣泛，建議用戶關(guān)注并開展自查工作。 
 
具體詳情如下:  
漏洞編號(hào): 
        CVE-2018-1305 
        CVE-2018-1304 
漏洞名稱: 
        CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全機(jī)制繞過(guò)漏洞 
官方評(píng)級(jí): 
        中危 
漏洞描述: 
        Apache Tomcat servlet 注釋定義的安全約束，只在servlet加載后才應(yīng)用一次。該漏洞是由于由于以這種方式定義的安全約束，應(yīng)用于URL模式及該點(diǎn)下任何URL，很可能取決于servlet加載的次序，對(duì)于某些不應(yīng)用的安全約束，惡意攻擊者利用該漏洞可能會(huì)將資源暴露給未經(jīng)授權(quán)訪問(wèn)用戶，導(dǎo)致敏感信息泄露。 

漏洞利用條件和方式: 
        通過(guò)PoC直接遠(yuǎn)程利用。 
PoC狀態(tài): 
        未公開 
漏洞影響范圍: 
        以下版本受到影響： 
        9版本（9.0.0.M1到9.0.4）
        8版本（8.5.0到8.5.27， 8.0.0.RC1到8.0.49）
        7版本（7.0.0到7.0.84）
安全版本: 
        大于或等于Apache Tomcat 9.0.5版本
        大于或等于Apache Tomcat 8.5.28版本
        大于或等于Apache Tomcat 8.0.50版本
        大于或等于Apache Tomcat 7.0.85版本
漏洞檢測(cè): 
        開發(fā)人員檢查是否使用了受影響版本范圍內(nèi)的Apache Tomcat版本。 
漏洞修復(fù)建議(或緩解措施): 
目前官方已提供安全更新版本下載： 
        9版本（9.0.5以后版本）：
        https://tomcat.apache.org/download-70.cgi
        8版本（8.5.28以后版本）:
        https://tomcat.apache.org/download-80.cgi
        7版本（7.0.85以后版本）:
        https://tomcat.apache.org/download-90.cgi
 
提示：建議您在修復(fù)漏洞前做好測(cè)試工作。