漏洞发现时间:
2017-09-21
漏洞编号:
CVE-2017-12616
危险等级:
高危
受影响软件:
Apache Tomcat 7.0.0 - 7.0.80
漏洞描述:
Apache Tomcat是美国Apache软件基金会的Jakarta项目的一款轻量级免费的开放源代码的Web应用服务器,主要用于开发和调试JSP程序。
该漏洞的利用前提是Tomcat的server.xml文件配置了VirtualDirContext参数,默认情况下是没有配置VirtualDirContext参数的。当使用了VirtualDirContext参数时,攻击者利用该漏洞通过发送精心构造的恶意请求,达到获取到服务器上JSP文件的源代码的目的。
来源参考:
https://bbs.aliyun.com/read/536282.html?spm=5176.bbsl215.0.0.U7U4cT
http://www.freebuf.com/vuls/148283.html
专家建议:
1、配置VirtualDirContext值为True并重启Tomcat。
2、升级到最新版本。
厂商补丁:
http://tomcat.apache.org/download-70.cgi?spm=5176.bbsr536282.0.0.1iXJnD&file=download-70.cgi