技术文章 | CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告

本文来源于阿里云-云栖社区，原文点击这里。

一. 漏洞概述

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间，官方评级为高危，在一定条件下，攻击者可以利用这两个漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。

二. 漏洞基本信息

• 漏洞编号: CVE-2017-12616 CVE-2017-12615
• 漏洞名称: CVE-2017-12615-远程代码执行漏洞 CVE-2017-12616-信息泄露漏洞
• 官方评级: 高危，实际测试漏洞危害较低

• 漏洞描述:

  CVE-2017-12616：信息泄露漏洞
  当Tomcat中启用了 VirtualDirContext时，攻击者将能通过发送精心构造的恶意请求，绕过设置的相关安全限制，或是获取到由VirtualDirContext提供支持资源服务的JSP源代码，从而造成代码信息泄露。

  CVE-2017-12615：远程代码执行漏洞
  当 Tomcat运行在Windows操作系统时，且启用了HTTP PUT请求方法（例如，将 readonly 初始化参数由默认值设置为 false），攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件，JSP文件中的恶意代码将能被服务器执行。导致服务器上的数据泄露或获取服务器权限。
  在一定的条件下，通过以上两个漏洞可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。

  漏洞利用条件:

• CVE-2017-12615漏洞利用需要在Windows环境，且需要将 readonly 初始化参数由默认值设置为 false，经过实际测试，Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数，需要手工添加，默认配置条件下不受此漏洞影响。
• CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数，经过实际测试，Tomcat 7.x版本内默认配置无VirtualDirContext参数，需要手工添加，默认配置条件下不受此漏洞影响。
• 影响范围:
• CVE-2017-12615影响范围： Apache Tomcat 7.0.0 - 7.0.79 (windows环境)
• CVE-2017-12616影响范围：Apache Tomcat 7.0.0 - 7.0.80

三. 漏洞详细分析信息

3.1.环境搭建

Apache Tomcat默认开启PUT方法，org.apache.catalina.servlets.DefaultServlet的readonly默认为true，而且默认没有在conf/web.xml里写，需要手工添加并且改为false，才可以测试。

 展开全文