欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 1370|回复: 1

[安全通知] 关于Apache Tomcat 远程代码执行漏洞安全预警

[复制链接]

73

主题

9

好友

7212

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
52421
威望
7212
发表于 2017-10-9 11:20:03 |显示全部楼层
尊敬的腾讯云客户:
  您好!近日,腾讯云安全中心监测到Apache官方发布了Tomcat新版本,修复了Tomcat中存在的一个远程代码执行漏洞(漏洞编号:CVE-2017-12617),该漏洞影响包含Tomcat 7.x、8.x、9.x在内的多个版本,攻击者可利用该漏洞上传恶意代码文件到您的服务器进行远程控制。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您尽快进行更新修复,避免被外部攻击者入侵。


【漏洞概述】
       Apache官方在Tomcat的新版本中修复了一个RCE漏洞,该漏洞源于在提交HTTP PUT方法请求时,攻击者可以通过特定请求将JSP文件上传到目标服务器,然后可以访问此JSP文件,让服务器执行该JSP中包含的任意代码。

【风险等级】
   高风险

【漏洞风险】
   远程代码执行

【影响版本】
   目前已知受影响版本如下:
  • Apache Tomcat 9.0.0.M1 – 9.0.0
  • Apache Tomcat 8.5.0 – 8.5.22
  • Apache Tomcat 8.0.0.RC1 - 8.0.46
  • Apache Tomcat 7.0.0 – 7.0.81

【安全版本】
  • Apache Tomcat 9.0.1
  • Apache Tomcat 8.5.23
  • Apache Tomcat 8.0.47
  • Apache Tomcat 7.0.82

【修复建议】
   目前官方已经发布最新版修复了上述问题,建议您参照上述【安全版本】升级到对应的最新版本,各主版本最新版下载链接:
  Apache Tomcat 9.0.1:https://tomcat.apache.org/download-90.cgi
  Apache Tomcat 8.5.23/8.0.47:https://tomcat.apache.org/download-80.cgi
  Apache Tomcat 7.0.82:https://tomcat.apache.org/download-70.cgi

【漏洞参考】
  [1]:https://lists.apache.org/thread.html/3fd341a604c4e9eab39e7eaabbbac39c30101a022acc11dd09d7ebcb@%3Cannounce.tomcat.apache.org%3E




腾讯云安全团队
2017年10月09日

0

主题

0

好友

230

积分

小白[LV1]

Rank: 1

云币
550
威望
230
发表于 2017-10-20 13:43:47 |显示全部楼层

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-5-25 22:50 , Processed in 1.113809 second(s), 28 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部