【漏洞预警】关于Apache Tomcat漏洞情况的通报

admin 2021年12月2日00:51:10cnnvd_warn评论16 次浏览阅读模式

        近日,国家信息安全漏洞库(CNNVD)收到关于Apache Tomcat存在远程代码执行漏洞(CNNVD-201611-609)的情况报送。该漏洞源于多个Tomcat历史版本使用了存在反序列化漏洞(CNNVD-201604-459)的监听器组件。目前,Apache Tomcat已升级此监听器组件版本,由于上述漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:

一、漏洞简介

         Apache Tomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。

         多个Apache Tomcat的历史版本存在远程代码执行漏洞(CNNVD-201611-609,CVE-2016-8735)。由于Apache Tomcat使用了存在反序列化漏洞(CNNVD-201604-459,CVE-2016-3427)的JmxRemoteLifecycleListener监听器,导致攻击者可利用该漏洞在开启该监听器的Apache Tomcat服务器上执行任意命令。受影响的Apache Tomcat具体版本如下:

         Apache Tomcat 9.0.0.M1至9.0.0.M11版本

         Apache Tomcat 8.5.0至8.5.6版本

         Apache Tomcat 8.0.0.RC1至8.0.38版本

         Apache Tomcat 7.0.0至7.0.72版本

         Apache Tomcat 6.0.0至6.0.47版本

二、漏洞危害

         受影响版本的Tomcat使用了存在反序列化漏洞(CNNVD-201604-459)的JmxRemoteLifecycleListener监听器组件,而针对该组件,2016年4月,Oracle官方网站已发布补丁修复该漏洞。

         远程攻击者可利用该漏洞在开启JmxRemoteLifecycleListener的Apache Tomcat服务器上执行任意命令,从而完全控制该服务器。

三、修复措施

         1.受影响用户可通过升级Apache Tomcat至最新版本以修复该漏洞,具体已修复版本如下:

         Apache Tomcat 9.0.0.M13及以上版本

         Apache Tomcat 8.5.8及以上版本

         Apache Tomcat 8.0.39及以上版本

         Apache Tomcat 7.0.73及以上版本

         Apache Tomcat 6.0.48及以上版本

         2. 已开启JmxRemoteLifecycleListener监听器的用户,可设置密码验证以消除漏洞影响。

         CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

         联系方式: [email protected]

  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月2日00:51:10
  • 转载请务必保留本文链接:http://zone.ci/archives/cnnvd/cnnvd_warn/2021/12/02/247.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: