Tomcat信息泄漏漏洞

2017-09-22 17:58:50 来源:qs

漏洞发现时间:

2017-09-21

漏洞编号:

CVE-2017-12616

危险等级:

高危

受影响软件:

Apache Tomcat 7.0.0 - 7.0.80

漏洞描述:

      Apache Tomcat是美国Apache软件基金会的Jakarta项目的一款轻量级免费的开放源代码的Web应用服务器,主要用于开发和调试JSP程序。

  该漏洞的利用前提是Tomcatserver.xml文件配置了VirtualDirContext参数,默认情况下是没有配置VirtualDirContext参数的。当使用了VirtualDirContext参数时,攻击者利用该漏洞通过发送精心构造的恶意请求,达到获取到服务器上JSP文件的源代码的目的。

来源参考:

https://bbs.aliyun.com/read/536282.html?spm=5176.bbsl215.0.0.U7U4cT

http://www.freebuf.com/vuls/148283.html

专家建议:

1、配置VirtualDirContext值为True并重启Tomcat

2、升级到最新版本

厂商补丁:

http://tomcat.apache.org/download-70.cgi?spm=5176.bbsr536282.0.0.1iXJnD&file=download-70.cgi


上一条Tomcat远程代码执行漏洞 返回列表 VMware越界写入本地代码执行漏洞下一条
回到首页 产品服务 解决方案 新闻中心 到顶部