欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 855|回复: 1

[安全通知] 关于Apache Tomcat 远程用户绕过安全限制漏洞通知

[复制链接]

202

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
31230
威望
12933
发表于 2018-2-26 19:03:09 |显示全部楼层
尊敬的腾讯云客户:
   您好,近日,腾讯云安全中心监测到Apache官方发布了Tomcat新版本,修复了Tomcat中存在的2个安全限制绕过漏洞(漏洞编号:CVE-2018-1304及CVE-2018-1305),该漏洞影响包含Tomcat 7.x、8.x、9.x在内的多个版本,攻击者可利用该漏洞绕过已有安全限制策略访问非授权资源。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您尽快进行更新修复,避免被外部攻击者入侵。

【漏洞概述】
   Apache官方在Tomcat的新版本中修复了两个安全限制绕过漏洞,CVE-2018-1304在web.xml中的 security constraints是空字符串的URL形式时才受影响,CVE-2018-1305则是由于Servlets annotations的加载机制引起,部分场景下有可能导致安全限制失效。

【风险等级】
   风险

【漏洞风险】
   绕过安全限制

【影响版本】
   目前已知受影响版本如下:
  • Apache Tomcat 9.0.0.M1 to 9.0.4
  • Apache Tomcat 8.5.0 to 8.5.27
  • Apache Tomcat 8.0.0.RC1 to 8.0.49
  • Apache Tomcat 7.0.0 to 7.0.84

【安全版本】
  • Apache Tomcat 9.0.5 or later
  • Apache Tomcat 8.5.28 or later
  • Apache Tomcat 8.0.50 or later
  • Apache Tomcat 7.0.85 or later

【修复建议】
   目前官方已经发布最新版修复了上述问题,建议您参照上述【安全版本】升级到对应的最新版本,各主版本最新版下载链接:
  Apache Tomcat 9.0.5:https://tomcat.apache.org/download-90.cgi
  Apache Tomcat 8.5.28/8.0.50:https://tomcat.apache.org/download-80.cgi
  Apache Tomcat 7.0.85:https://tomcat.apache.org/download-70.cgi

【漏洞参考】
  1)https://www.mail-archive.com/users@tomcat.apache.org/msg128401.html
  2)https://www.mail-archive.com/users@tomcat.apache.org/msg128400.html


2017/2/26

1

主题

0

好友

130

积分

小白[LV1]

Rank: 1

云币
410
威望
130
发表于 2018-2-26 21:01:39 |显示全部楼层
已阅!这个出来的还是比较及时的哈!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-7-20 03:24 , Processed in 1.168313 second(s), 29 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部