安全公告编号:CNTA-2017-0066

北京时间9月20日，国家信息安全漏洞共享平台（CNVD）收录了Apache Tomcat远程代码执行漏洞（CNVD-2017-27471对应CVE-2017-12616，CNVD-2017-27472对应CVE-2017-12615）。综合利用漏洞，攻击者可能获取用户服务器上 JSP 文件的源代码，或通过精心构造的攻击请求，向用户服务器上传恶意 JSP 文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码。

一、漏洞情况分析

Tomcat是Apache 软件基金会（Apache Software Foundation）开发一个免费的开放源代码的Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不高的场合下被普遍使用，是开发和调试JSP 程序的首选。2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞。

漏洞一：信息泄露漏洞（CNVD-2017-27471、CVE-2017-12616）

当Tomcat中启用了 VirtualDirContext时，攻击者将能通过发送精心构造的恶意请求，绕过设置的相关安全限制，或是获取到由VirtualDirContext提供支持资源服务的JSP源代码，从而造成代码信息泄露。

漏洞二：远程代码执行漏洞（CNVD-2017-27472、 CVE-2017-12615）

当 Tomcat运行在Windows操作系统时，且启用了HTTP PUT请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。

CNVD对上述漏洞的综合评级均为“高危”。

二、漏洞影响范围

根据官方公告情况，两个漏洞影响版本如下：

信息泄露漏洞（CNVD-2017-27471、CVE-2017-12616）：

Apache Tomcat 7.0.0 - 7.0.80

远程代码执行漏洞（CNVD-2017-27472、CVE-2017-12615）：

Apache Tomcat 7.0.0 - 7.0.79

三、漏洞处置建议

升级至 Apache Tomcat 7.0.81 版本，详情参见官网：

http://tomcat.apache.org/download-70.cgi#7.0.81  

附：参考链接：

https://tomcat.apache.org/security-7.html 

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27472

http://www.cnvd.org.cn/flaw/show/CNVD-2017-27471