安全公告/【CVE-2017-12615】

基本信息

漏洞描述

Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。 如果Apache Tomcat服务器上启用了HTTP PUT请求方法，并且在web.xml配置文件中 readonly参数设置为 false，攻击者通过精心构造的攻击请求，上传恶意的JSP文件，JSP文件中的恶意代码将能被服务器执行，从而造成远程代码执行。Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数，并且readonly参数默认为true，默认配置条件下不受此漏洞影响。

修复方式

1.将 Tomcat 升级到 7.0.81 及以上版本，下载地址：http://archive.apache.org/dist/tomcat/
2..临时缓解措施：注释掉web.xml的readonly配置，或者设置readonly=true；前端的代理（nginx、Apache、IIS等）禁用put
3.若漏洞的检测结果中存在漏洞修复版本，则将漏洞检测结果中的软件包升级到对应漏洞修复版本及以上。
  参照安全补丁功能中该漏洞的修复命令进行升级，或者参照以下修复命令进行升级：
  CentOS/RHEL/Oracle Linux : sudo yum update -y 需要升级的软件包名(参考检测结果)
  SUSE : sudo zypper update -y 需要升级的软件包名(参考检测结果)
  Ubuntu/Debian : sudo apt-get update && sudo apt-get install --only-upgrade -y 需要升级的软件包名(参考检测结果)
  例：若漏洞的检测结果中主机系统为 CentOS 6，软件包名称为 tomcat6，当前安装版本为 6.0.24-25.el6_9，对应漏洞修复版本为 6.0.24-111.el6_9，则漏洞修复命令为  sudo yum update -y tomcat6

漏洞判定

版本比对检测原理：检查当前系统中Tomcat版本是否在受影响版本内|版本比对检测结果：- tomcat
  当前安装版本：7.0.78
  应用相关信息：
  - 安装目录：/home/gkcx/apache-tomcat-7.0.78
  - 配置文件路径：/home/gkcx/apache-tomcat-7.0.78/conf/server.xml
  - 进程PID：20764
  - 二进制文件路径：/usr/local/jdk1.8.0_51/bin/java
- tomcat
  当前安装版本：7.0.78
  应用相关信息：
  - 安装目录：/home/gkcx/apache-tomcat-7.0.78-newzz
  - 配置文件路径：/home/gkcx/apache-tomcat-7.0.78-newzz/conf/server.xml
  - 进程PID：3857
  - 二进制文件路径：/usr/local/jdk1.8.0_51/bin/java
该主机存在此漏洞

参考

CVE-2017-12615，CNVD-2017-27472，CWE-434，CNNVD-201709-899