设为首页 收藏本站

运维网

查看: 157|回复: 0

[新闻资讯] Apache Tomcat修复了两例严重级别的漏洞

[复制链接]

累计签到:10 天
连续签到:1 天
发表于 2017-9-20 10:12:09 | 显示全部楼层 |阅读模式

近日,腾讯云安全中心监测到 Apache Tomcat修复了两例严重级别的漏洞, 分别为:远程代码执行漏洞(CVE-2017-12615)、信息泄露漏洞(CVE-2017-12616),在某些场景下,攻击者将分别能通过这两个漏洞,获取服务器上JSP文件的源代码,或是通过精心构造的攻击请求,向服务器上传恶意JSP文件,故事件评级为严重
      为避免您的服务器受影响,腾讯云安全中心提醒您注意及时开展安全自查以避免被恶意攻击者利用,详细如下:

【漏洞概述】
1) 信息泄露漏洞(CVE-2017-12616)
当Tomcat中使用了VirtualDirContext时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制或是获取到由VirtualDirContext提供支持的资源的JSP源代码。

2) 远程代码执行漏洞(CVE-2017-12615)
当Tomcat运行在Windows主机上,且启用了HTTP PUTS请求方法(例如,将readonly初始化参数由默认值设置为false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的JSP文件,之后,JSP文件中的代码将能被服务器执行。

【风险等级】
高风险

【漏洞风险】

信息泄露及远程代码执行

【影响版本】
1)信息泄露漏洞(CVE-2017-12616)影响:Apache Tomcat 7.0.0 -7.0.80
2)远程代码执行漏洞(CVE-2017-12615)影响: Apache Tomcat 7.0.0 -7.0.79

【修复建议】
升级至Apache Tomcat 7.0.81版本;

【漏洞参考】


运维网声明 1、欢迎大家加入本站运维交流群:群①:263444886群②:197202523群③:485755530群④:201730672群⑤:202807635运维网交流群⑥:281548029
2、本站所有主题由该帖子作者发表,该帖子作者与运维网享有帖子相关版权
3、其他单位或个人使用、转载或引用本文时必须注明原文的出处
4、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
5、运维网 - 服务您的运维操作管理专家!
6、联系人Email:[email protected] 网址:www.iyunv.com

点击关注更多内容
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册  

本版积分规则  允许回帖邮件提醒楼主

关注运维网官方微信X

关注运维网官方微信

扫描二维码关注运维网官方微信,最新一手资源尽在官方微信!快快关注我们吧...

扫描微信二维码查看详情

客服 E-mail:[email protected]

本站由安畅云和青云提供云计算服务

运维网--中国最专业的运维工程师交流社区

京ICP备14039699号-1 Copyright © 2012-2017

使用手机软件扫描微信二维码

关注我们可获取更多热点资讯

Good good study day day up !


提醒:禁止发布任何违反国家法律、法规的言论与图片等内容;本站内容均来自个人观点与网络等信息,非本站认同之观点.


合作伙伴: 青云cloud 51idc

快速回复 返回顶部 返回列表