关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

关于Apache Tomcat存在绕过漏洞的情况通报

发布时间:2018-03-02 11:20:54

关于Apache Tomcat存在绕过漏洞的情况通报

 

近日,Apache发布了Tomcat存在2个安全限制绕过漏洞的安全公告漏洞存在于7.*到9.*版本,存在漏洞的系统面临被恶意攻击者访问到目标系统表面上受限制的Web应用程序资源的可能,直接影响到系统的安全性,此次漏洞被官方定为高危级别。为此,我大队按上级要求,现将具体漏洞情况、影响范围以及网络安全工作提示汇总如下:

一、漏洞基本情况

Tomcat是一个HTTP服务器,Apache Tomcat包含一个配置管理工具,可以通过编辑XML格式的配置文件进行配置。此次发布的漏洞主要因为Tomcat实现的安全性约束注释应用太迟和映射到上下文根被忽略,从而导致恶意用户可能能够绕过安全限制,来访问目标系统表面上受限制的Web应用程序资源。

    二、影响范围

该漏洞影响的范围包括:

9.*版本(9.0.0.M19.0.4

8.*版本(8.5.08.5.278.0.0.RC18.0.49

7.*版本(7.0.07.0.84

    三、网络安全工作提示

一是及时更新Apache版本,按照目前官方已提供安全更新版本下载(漏洞修复后版本):9.*版本(9.0.5以后版本);8.*版本(8.5.28以后版本);8.*版本(8.0.50以后版本);7.*版本(7.0.85以后版本)。

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

   二是建议使用该产品的单位通过部署安全防护设备及时防御。



/template/Home/Zkeys/PC/Static