安全公告/【CVE-2016-6816】

基本信息

漏洞描述

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。 Tomcat中存在安全漏洞，该漏洞源于某些版本解析HTTP请求行的代码允许存在无效的字符，这可使攻击者篡改HTTP响应，利用该漏洞实施跨站脚本攻击，获取敏感信息。

修复方式

1.将 Tomcat 升级到 6.0.48、7.0.73、8.0.39、8.5.8、9.0.0.M13 及以上版本，下载地址：http://archive.apache.org/dist/tomcat/
2.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。
  参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级：
  CentOS/RHEL/Oracle Linux : sudo yum update -y 需要升级的软件包名(参考检测结果)
  SUSE : sudo zypper update -y 需要升级的软件包名(参考检测结果)
  Ubuntu/Debian : sudo apt-get update && sudo apt-get install --only-upgrade -y 需要升级的软件包名(参考检测结果)
  例：若漏洞的检测结果中主机系统为 CentOS 7，软件包名称为 tomcat-servlet-3.0-api，当前安装版本为 7.0.65-11.el7_3，对应漏洞修复版本为 7.0.69-11.el7_3，则漏洞修复命令为 sudo yum update -y tomcat-servlet-3.0-api

漏洞判定

版本比对检测原理：检查当前系统中Tomcat版本是否在受影响版本内|版本比对检测结果：- tomcat
  当前安装版本：6.0.35
  应用相关信息：
  - 安装目录：/root/htxt/apache-tomcat-6.0.35
  - 配置文件路径：/root/htxt/apache-tomcat-6.0.35/conf/server.xml
  - 进程PID：29229
  - 二进制文件路径：/usr/java/jdk1.6.0_22/bin/java
该主机存在此漏洞

参考

CVE-2016-6816，CNVD-2016-11591，CWE-20，CNNVD-201611-610