CVE编号
CVE-2017-12616利用情况
POC 已公开补丁情况
官方补丁披露时间
2017-09-20漏洞描述
Apache Tomcat是美国阿帕奇(Apache)软件基金会下属的Jakarta项目的一款轻量级Web应用服务器,它主要用于开发和调试JSP程序,适用于中小型系统。Apache Tomcat 7.0.0到7.0.80版本中存在信息泄露漏洞,当Tomcat中使用了 VirtualDirContext 时,攻击者可通过发送精心构造的恶意请求,绕过设置的相关安全限制,获取由VirtualDirContext提供支持资源的JSP源代码。
解决建议
升级至 Apache Tomcat 7.0.81 版本,请到厂商的主页下载:http://tomcat.apache.org/download-70.cgi#7.0.81
参考链接 |
|
---|---|
http://www.securityfocus.com/bid/100897 | |
http://www.securitytracker.com/id/1039393 | |
https://access.redhat.com/errata/RHSA-2018:0465 | |
https://access.redhat.com/errata/RHSA-2018:0466 | |
https://lists.apache.org/thread.html/1df9b4552464caa42047062fe7175da0da06c18e... | |
https://lists.apache.org/thread.html/388a323769f1dff84c9ec905455aa73fbcb20338... | |
https://lists.apache.org/thread.html/3d19773b4cf0377db62d1e9328bf9160bf1819f0... | |
https://lists.apache.org/thread.html/845312a10aabbe2c499fca94003881d2c79fc993... | |
https://lists.apache.org/thread.html/r9136ff5b13e4f1941360b5a309efee2c114a148... | |
https://lists.debian.org/debian-lts-announce/2018/06/msg00008.html | |
https://security.netapp.com/advisory/ntap-20171018-0001/ | |
https://support.hpe.com/hpsc/doc/public/display?docLocale=en_US&docId=emr_na-... | |
https://usn.ubuntu.com/3665-1/ | |
https://www.synology.com/support/security/Synology_SA_17_54_Tomcat |
受影响软件情况
# | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
1 | |||||||||
---|---|---|---|---|---|---|---|---|---|
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.0 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.1 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.10 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.11 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.12 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.13 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.14 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.15 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.16 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.17 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.18 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.19 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.2 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.20 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.21 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.22 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.23 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.24 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.25 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.26 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.27 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.28 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.29 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.3 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.30 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.31 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.32 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.33 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.34 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.35 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.36 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.37 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.38 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.39 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.4 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.40 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.41 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.42 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.43 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.44 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.45 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.46 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.47 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.48 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.49 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.5 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.50 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.51 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.54 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.55 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.56 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.57 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.58 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.59 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.6 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.60 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.61 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.62 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.63 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.64 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.65 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.66 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.67 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.68 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.69 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.7 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.70 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.71 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.72 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.73 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.74 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.75 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.76 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.77 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.79 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.8 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.80 | - | |||||
运行在以下环境 | |||||||||
应用 | apache | tomcat | 7.0.9 | - | |||||
运行在以下环境 | |||||||||
系统 | debian_7 | tomcat7 | * |
Up to (excluding) 7.0.28-4+deb7u15 |
|||||
运行在以下环境 | |||||||||
系统 | debian_8 | tomcat7 | * |
Up to (excluding) 7.0.56-3+deb8u3 |
|||||
运行在以下环境 | |||||||||
系统 | sles_12 | tomcat | * |
Up to (excluding) 7.0.82-7.16 |
|||||
运行在以下环境 | |||||||||
系统 | ubuntu_14.04 | tomcat | * |
Up to (excluding) 7.0.52-1ubuntu0.14 |
|||||
运行在以下环境 | |||||||||
系统 | ubuntu_14.04_lts | tomcat7 | * |
Up to (excluding) 7.0.52-1ubuntu0.14 |
|||||
运行在以下环境 | |||||||||
系统 | ubuntu_18.04_lts | tomcat8 | * |
Up to (excluding) 8.5.30-1ubuntu1 |
|||||
运行在以下环境 | |||||||||
系统 | ubuntu_18.10 | tomcat8 | * |
Up to (excluding) 8.5.30-1ubuntu2 |
|||||
- 攻击路径 远程
- 攻击复杂度 容易
- 权限要求 无需权限
- 影响范围 有限影响
- EXP成熟度 POC 已公开
- 补丁情况 官方补丁
- 数据保密性 数据泄露
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 10000
还没有评论,来说两句吧...