1
Apache Optionsbleed 漏洞跟进
2017年9月18日,Apache公告了HTTP OPTIONS方法内存泄露漏洞,代号“Optionsbleed”,对应CVE编号:CVE-2017-9798
相关信息链接: https://blog.fuzzing-project.org/60-Optionsbleed-HTTP-OPTIONS-method-can-leak-Apaches-server-memory.html 根据公告,该漏洞存在于2.2.34/2.4.27版本,目前网上已经有公开的测试代码,建议尽快更新到新的版本。
测试工具:https://github.com/hannob/optionsbleed
2
Apache Tomcat 漏洞跟进
2017年9月19日,Apache又公告两个Tomcat的漏洞,其中远程代码执行漏洞,对应CVE编号:CVE-2017-12615,信息泄露漏洞,对应CVE编号:CVE-2017-12616,本次漏洞公告链接: https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
官方7.x版本历史安全公告列表: https://tomcat.apache.org/security-7.html
3
漏洞描述
在Windows版本下,将web.xml配置文件中readonly值设置为false时(默认是true),即可通过PUT方式创建一个JSP脚本文件,从而可以执行攻击代码,实现webshell。
4
影响版本范围
远程代码执行漏洞(CVE-2017-12615),影响7.0.0到7.0.79版本 信息泄露漏洞(CVE-2017-12616),影响7.0.0到7.0.80版本 官方推荐更新到7.0.81版本,目前网上已经有公开的测试代码,而且显示绕过了7.0.81补丁版本,并不限于Windows版本,建议关注官方的最新版本和参考其他缓解措施。
关注官方更新版本下载地址: https://tomcat.apache.org/download-70.cgi https://tomcat.apache.org/download-80.cgi https://tomcat.apache.org/download-90.cgi
5
缓解措施(安全开发建议等)
配置:如果不是必须适配,考虑将web.xml配置文件中readonly值保持为默认设置true。 高危:目前攻击代码已经公开,强烈建议尽快升级到无漏洞新版本或使用WAF等安全设备拦截恶意请求。 安全开发生命周期(SDL)建议:Apache Tomcat历史上已经报过多个严重安全漏洞,建议使用该产品的企业经常关注官方安全更新公告。
