Apache Tomcat由于设置错误,出现了 tomcat安全绕过漏洞 CVE-2017-5664,攻击者利用这个漏洞可以绕过某些安全性限制,执行未授权动作。这可能引发更多攻击。如下版本受到影响
- Apache Tomcat 9.0.0.M1至 9.0.0.M20
- Apache Tomcat 8.5.0 至 8.5.14
- Apache Tomcat 8.0.0.RC1 至 8.0.43
- Apache Tomcat 7.0.0 至 7.0.77
Apache Tomcat CVE-2017-5664 安全绕过漏洞
问题出现在java servlet规范的错误页请求机制,当出现错误,并且错误页配置错误时,会触发这种情况,原始请求和响应被转发到错误页面。这意味着,利用原有的HTTP方法就可以将用户的请求重定向到错误页面。
如果错误页是静态文件,那就是处理GET请求,而不考虑实际HTTP方法。但Tomcat的默认servlet并没有这样做。如果defaultservlet是配置为允许写入,错误页面就可能被替换或删除。
Tomcat 安全绕过漏洞缓解办法
建议受影响的用户尽快升级
- 升级到 Ap