漏洞发现时间:
2017-09-22
漏洞编号:
CVE-2017-12615
危险等级:
高危
受影响软件:
Apache Tomcat 7.0.0 - 7.0.80
漏洞描述:
Apache Tomcat是美国Apache软件基金会的Jakarta项目的一款轻量级免费的开放源代码的Web应用服务器,主要用于开发和调试JSP程序。
该漏洞的利用前提是在Windows环境下,将Tomcat的conf/web.xml文件中的readonly设置为false,即启用HTTP PUT请求方法,攻击者利用该漏洞通过发送精心构造的恶意请求,向服务器上传恶意JSP文件,达到在服务器上执行任意代码的目的。
来源参考:
https://bbs.aliyun.com/read/536282.html?spm=5176.bbsl215.0.0.U7U4cT
http://www.freebuf.com/vuls/148283.html
专家建议:
1、配置readonly值为True或注释参数,禁用PUT方法并重启Tomcat。
2、升级到最新版本。
厂商补丁:
http://tomcat.apache.org/download-70.cgi?spm=5176.bbsr536282.0.0.1iXJnD&file=download-70.cgi