按 Enter 到主內容區
:::

TWCERT-電子報

:::
發布日期:
字型大小:

Apache釋出較高安全性之Tomcat 9.0.1 及 8.5.23

CVE編號 CVE-2017-12617
影響產品 1.Apache Tomcat 9.0.0.M1至9.0.0 2.Apache Tomcat 8.5.0至8.5.22 3.Apache Tomcat 8.0.0 .RC1至8.0.46 4.Apache Tomcat 7.0.0至7.0.81
解決辦法 更新Tomcat 9.0.1參考https://tomcat.apache.org/download-90.cgi,其他版本可於同網頁取得連結
張貼日 2017-10-13
上稿單位 TWCERT/CC

●概述:
Apache多版Tomcat存在共同弱點,駭客可藉此取得遠端伺服器控制權,並執行任何程式碼,Apache就相關版本軟體提供對應之安全更新。
●編註:
該漏洞發生條件為HTTP PUTs運作時,servlet預設組態中"read-only"初始化參數設定為false或者WebDAV servlet啟動,駭客伺機發送HTTP PUT請求到Apache Tomcat運行之設備,即可上傳特製JSP檔,然後對JSP送出請求,此際伺服器將執行JSP內含惡意碼,而遭駭客控制。

相關連結

  1. https://thehackernews.com/2017/10/apache-tomcat-rce.html
  2. https://www.us-cert.gov/ncas/current-activity/2017/10/03/Apache-Releases-Security-Updates-Apache-Tom
回頁首