弱點通告:Apache Tomcat 存在安全性弱點,建議請管理者儘速更新!
2017/10/06
風險等級: 高度威脅
摘  要:

Apache Tomcat 存在安全性弱點,可能允許遠端攻擊者利用該弱點來執行遠端程式碼與控制系統。

目前已知會受到影響的產品為Apache Tomcat 9.0.0.M1 至9.0.0 、Apache Tomcat 8.5.0 至8.5.22 、Apache Tomcat 8.0.0 .RC1到8.0.46 、 Apache Tomcat 7.0.0到7.0.81 的版本,HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

影響系統:
  • Apache Tomcat 9.0.0.M1至9.0.0的版本
  • Apache Tomcat 8.5.0至8.5.22的版本
  • Apache Tomcat 8.0.0 .RC1到8.0.46的版本
  • Apache Tomcat 7.0.0到7.0.81的版本
  • 解決辦法:
  • 請參考Apache Tomcat 官網更新至Apache Tomcat 7.0.82 (含)之後版本
  • 請參考Apache Tomcat 官網更新至Apache Tomcat 8.5.23 (含)之後版本
  • 請參考Apache Tomcat 官網更新至Apache Tomcat 8.0.47 (含)之後版本
  • 請參考Apache Tomcat 官網更新至Apache Tomcat 9.0.1 (含)之後版本
  • 細節描述:

    當使用HTTP PUT運行時(例如,通過設置只讀方式初始servlet的初始化參數為false),可以通過特製的方式將JSP文件上傳到伺服器。然後可以請求此JSP以及它包含的任何程式碼將由伺服器執行。

    HiNet SOC 建議請管理者儘速評估更新,以降低受駭風險。

    參考資訊:

    us-cert (2017/10/03)
    apache (2017/10/03)