【系统安全】Apache Tomcat 漏洞修复

 

一、Apache Tomcat远程代码执行漏洞(CVE-2019-0232)   Affects: 7.0.0 to 7.0.93

Apache Tomacat 官网：Apache Tomcat® - Apache Tomcat 7 vulnerabilities

RedHat Bugzilla：1701056 – (CVE-2019-0232) CVE-2019-0232 tomcat: Remote Code Execution on Windows (redhat.com)

 

二、Apache Tomcat拒绝服务漏洞(CVE-2016-3092)    Affects: 7.0.0 to 7.0.69

Apache Tomacat 官网：Apache Tomcat® - Apache Tomcat 7 vulnerabilities

RedHat Bugzilla：1349468 – (CVE-2016-3092) CVE-2016-3092 tomcat: Usage of vulnerable FileUpload package can result in denial of service (redhat.com)

 

三、Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014)   7.0.89 已经修复

Apache Tomacat 官网：Apache Tomcat® - Apache Tomcat 7 vulnerabilities

RedHat Bugzilla：1579611 – (CVE-2018-8014) CVE-2018-8014 tomcat: Insecure defaults in CORS filter enable 'supportsCredentials' for all origins (redhat.com)

 

四、Apache Tomcat 安全限制绕过漏洞(CVE-2016-8735)  Affects: 7.0.0 to 7.0.72  升级Tomcat版本到 7.0.76-6

Apache Tomacat 官网：Apache Tomcat® - Apache Tomcat 7 vulnerabilities

RedHat Bugzilla：1397485 – (CVE-2016-8735) CVE-2016-8735 tomcat: Remote code execution vulnerability in JmxRemoteLifecycleListener (redhat.com)

      该漏洞与之前Oracle发布的 mxRemoteLifecycleListener 反序列化漏洞（CVE-2016-3427）相关，是由于使用了JmxRemoteLifecycleListener 的监听功能所导致。而在Oracle官方发布修复后，Tomcat未能及时修复更新而导致的远程代码执行。
      该漏洞所造成的最根本原因是Tomcat在配置JMX做监控时使用了 JmxRemoteLifecycleListener 的方法。

漏洞影响范围

• Apache Tomcat 9.0.0.M1 to 9.0.0.M11
• Apache Tomcat 8.5.0 to 8.5.6
• Apache Tomcat 8.0.0.RC1 to 8.0.38
• Apache Tomcat 7.0.0 to 7.0.72
• Apache Tomcat 6.0.0 to 6.0.47

漏洞修复建议(或缓解措施)

• 紧急措施：关闭JmxRemoteLifecycleListener功能，或者是对jmx JmxRemoteLifecycleListener远程端口进行网络访问控制。同时，增加严格的认证方式。

• 推荐方案：官方已经发布了版本更新，建议您升级到最新版本。

  • Apache Tomcat 9.0.0.M13或更新版本(Apache Tomcat 9.0.0.M12也修复了此漏洞，但并未发布)
  • Apache Tomcat 8.5.8或更新版本(Apache Tomcat 8.5.7也修复了此漏洞，但并未发布)
  • Apache Tomcat 8.0.39或更新版本
  • Apache Tomcat 7.0.73或更新版本
  • Apache Tomcat 6.0.48或更新版本