2017年9月19日消息，Apache Tomcat 官方确认了两个高危漏洞，同时发布了漏洞修复补丁，漏洞CVE编号为:CVE-2017-12615和CVE-2017-12616，官方评级为高危。在一定情况下，攻击者可以利用漏洞在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。

 

据了解CVE-2017-12615漏洞为信息泄露漏洞，攻击者将有可能获取用户服务器上的JSP文件的源代码，在用户服务器上执行任意代码，从而导致数据泄露。受该漏洞影响的版本为 Apache Tomcat 7.0.0 - 7.0.79 (windows环境)。

 

CVE-2017-12616漏洞为远程代码执行漏洞，当 Tomcat 启用了 HTTP PUT 请求方法时，攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的 JSP 文件。之后，JSP 文件中的代码将能被服务器执行，导致服务器上的数据泄露或获取服务器权限。受该漏洞影响的版本为Apache Tomcat 7.0.0 - 7.0.80。

 

安全建议

 

• 漏洞修复方案：禁用PUT方法并重启tomcat，临时规避安全风险；（注：此方案对于依赖 PUT 方法的业务，会有影响。）
• 接入第三方安全平台，保证网站长期安全稳定运行。

 

漏洞公告发布后，创宇盾安全专家第一时间进行响应。经确认，知道创宇云安全旗下云防御平台 创宇盾 无须升级安全策略即可有效拦截利用该漏洞的攻击。

 

十九大召开在即，为了保证会议期间的网络环境的安全稳定，知道创宇发起十九大期间政府网站免费防御、监控行动，为各级政府企事业单位网站提供严密安全防护。