预警通报

网络安全预警通报

2018年第1期   （总第6期）

西安交通大学网络信息中心　          2018年2月28日

【预警类型】漏洞预警

【预警内容】

Apache Tomcat绕过漏洞预警

安全漏洞

2018年2月23日，Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告：

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

对应CVE：CVE-2018-1305、CVE-2018-1304

根据公告，漏洞存在于7.*到9.*版本，存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的Web应用程序资源的可能，直接影响到系统的安全性，建议及时升级安全更新补丁。

漏洞分析

漏洞主要因为Tomcat实现的安全性约束注释应用太迟和映射到上下文根被忽略，从而导致恶意用户可能能够绕过安全限制，来访问目标系统表面上受限制的Web应用程序资源。

漏洞利用

通过该漏洞恶意用户可能能够访问到目标网站上的Web应用程序资源，比如安全配置文件等。

影响范围

以下版本受到影响：

9.*版本（9.0.0.M1到9.0.4）

8.*版本（8.5.0到8.5.27， 8.0.0.RC1到8.0.49）

7.*版本（7.0.0到7.0.84）

目前官方已提供安全更新版本下载（漏洞修复后版本）：

9.*版本（9.0.5以后版本）

8.*版本（8.5.28以后版本）

8.*版本（8.0.50以后版本）

7.*版本（7.0.85以后版本）

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

威胁等级

高危：目前漏洞细节和测试代码暂未公开，但建议及时升级安全更新版本，或是部署WAF等安全防护设备监控漏洞利用情况。

安全建议

Apache Tomcat历史上报过多次安全漏洞，建议使用该产品的企业通过部署安全防护设备及时防御和随时关注安全更新公告。

参考文档

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E