【漏洞公告】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞

by admin on 2020年3月30日

4月5日,Pivotal 发布了 Spring Framework 存在多个安全漏洞的公告:

2017年9月19日,Apache
Tomcat官方确认并修复了两个高危漏洞,漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上
JSP
文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意JSP文件,通过上传的
JSP 文件
,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

CNNVD关于多个微软产品漏洞的通报。近日,Shadow
Brokers(影子经纪人)组织在互联网上发布了此前获得的部分方程式黑客组织(Equation
Group)的文件信息,其中包含多款针对Microsoft
Windows操作系统以及其他服务器系统软件开发的漏洞利用工具。由于上述工具所使用的漏洞危害程度高、利用方式简单且攻击成功率高,对国家政企单位重要信息关键基础设施可能造成重大影响。

(1)spring-messaging 模块远程代码执行漏洞

阿里云提示您关注并尽快自查,具体详情如下:

为此,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,对所涉及的漏洞信息进行重要预警,情况如下:

对应CVE编号:CVE-2018-1270

漏洞编号:

一、漏洞简介

漏洞公告链接:

CVE-2017-12615

Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。

(2)运行于 Windows 系统的 Spring MVC 存在目录遍历漏洞

CVE-2017-12616

本次共涉及Windows操作系统漏洞信息12个(漏洞详情见附件一),通过泄露的利用工具,攻击者可利用上述漏洞对Windows操作系统远程执行恶意代码。漏洞编号如下:

对应CVE编号:CVE-2018-1271

漏洞名称:

超危漏洞9个:

漏洞公告链接:

CVE-2017-12615-远程代码执行漏洞

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-721、CNNVD-201009-132、CNNVD-200910-232、CNNVD-200909-131、CNNVD-200810-406。

(3)Spring MVC 或 Spring WebFlux 服务器存在 Multipart 类型污染漏洞

CVE-2017-12616-信息泄露漏洞

高危漏洞1个:

对应CVE编号:CVE-2018-1272

官方评级:

CNNVD-200910-226。

漏洞公告链接:

高危

澳门新葡亰平台官网,中危漏洞2个:

漏洞描述

漏洞描述:

CNNVD-201703-722、CNNVD-201411-318。

CVE-2018-1270漏洞:Spring
Framework的5.*版本、4.3.*版本以及不再支持的旧版本,通过spring-messaging和spring-websocket模块提供的基于WebSocket的STOMP,存在被攻击者建立WebSocket连接并发送恶意攻击代码的可能,从而实现远程代码执行攻击,建议尽快更新到新的版本。

CVE-2017-12616:信息泄露漏洞

以上漏洞影响包括但不限于Windows XP 、Windows 2000、Windows
Vista、Windows 7、Windows 8、Windows Server 2008、Windows Server
2012等多个微软重要产品。

CVE-2018-1271漏洞:Spring
Framework的5.*版本、4.3.*版本以及不再支持的旧版本,Spring
MVC允许应用程序对其配置提供静态资源,在Windows系统上实现该功能时,攻击者通过请求构造的特定资源URL,可能导致目录遍历的效果产生,建议尽快更新到新的版本。

当 Tomcat 中使用了 VirtualDirContext
时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由
VirtualDirContext 提供支持资源的 JSP 源代码。

二、影响范围

CVE-2018-1272漏洞:Spring
Framework的5.*版本、4.3.*版本以及不再支持的旧版本,当Spring
MVC或Spring
WebFlux服务器接受把客户端请求再转向另一台服务器的场景下,攻击者通过构造和污染Multipart类型请求,可能对另一台服务器实现权限提升攻击,建议尽快更新到新的版本。

CVE-2017-12615:远程代码执行漏洞

截止目前,根据统计显示:

漏洞影响范围

当 Tomcat 运行在 Windows 主机上,且启用了 HTTP PUT 请求方法(例如,将
readonly 初始化参数由默认值设置为
false),攻击者将有可能可通过精心构造的攻击请求向服务器上传包含任意代码的
JSP 文件。之后,JSP 文件中的代码将能被服务器执行。

1、全球可能受到影响的Windows操作系统主机超过750万台。其中,约有542万的RDP服务和约有208万的SMB协议服务运行在Windows上。

Spring
spring-messaging远程代码执行漏洞(CVE-2018-1270)、(CVE-2018-1271)、(CVE-2018-1272)等影响版本如下:

通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。

2、我国可能受到影响的Windows操作系统主机超过133万。其中,约有超过101万的RDP服务和超过32万的SMB协议服务运行在Windows上。

(1)Spring Framework 5.*(5.0到5.0.4)版本,建议更新到5.0.5版本

漏洞利用条件和方式:

三、修复措施

(2)Spring Framework
4.3.*(4.3到4.3.14)版本,建议更新到4.3.15版本

CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly
初始化参数由默认值设置为 false,经过实际测试,Tomcat
7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。

目前,微软官方已发表声明,涉及的大部分漏洞已在微软支持的产品中修复并发布安全公告。请用户及时检查是否受到漏洞影响。如确认受到相关漏洞影响,可采取以下措施:

(3)以及不再受支持的旧版本,建议更新到4.3.15版本或5.0.5版本

CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat
7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。

(一) 升级修复

官方历史安全公告列表,请参考:

漏洞影响范围:

受影响用户可根据以下解决方案中相关信息进行升级(补丁链接见附件二),微软官方公告的解决方案对应表如下所示:

CVE-2017-12616影响范围:Apache Tomcat 7.0.0 – 7.0.80

  1. “EternalBlue”由MS17-010解决,对应漏洞编号:

CVE-2017-12615影响范围: Apache Tomcat 7.0.0 – 7.0.79

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-722、CNNVD-201703-721

来自安恒信息

漏洞检测:

  1. “EmeraldThread”由MS10-061解决,对应漏洞编号:

开发人员检查是否使用受影响范围内的Apache Tomcat版本

CNNVD-201009-132

漏洞修复建议(或缓解措施):

3.
“EternalChampion”由MS17-010中的CVE-2017-0146和CVE-2017-0147解决,对应漏洞编号:

根据业务评估配置readonly和VirtualDirContext值为Ture或注释参数并重启tomcat,临时规避安全风险;

CNNVD-201703-723、CNNVD-201703-722

官方已经发布Apache
Tomcat7.0.81版本修复了两个漏洞,建议阿里云用户尽快升级到最新版本;

  1. “EsikmoRoll”由MS14-068解决,对应漏洞编号:

可以选用阿里云云盾WAF进行防御

CNNVD-201411-318

情报来源:

  1. “EternalRomance ”由MS17-010解决,对应漏洞编号:

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-722、CNNVD-201703-721

  1. “EducatedScholar”由MS09-050解决,对应漏洞编号:

原文链接

CNNVD-200910-226、 CNNVD-200910-232、CNNVD-200909-131

  1. “EternalSynergy ”由MS17-010解决,对应漏洞编号:

CNNVD-201703-726、CNNVD-201703-725、CNNVD-201703-724、CNNVD-201703-723、CNNVD-201703-722、CNNVD-201703-721

  1. “EclipsedWing”由MS08-067解决 ,对应漏洞编号:

CNNVD-200810-406

  1. “ErraticGopher”Windows Vista及以后的版本已修复

另外,使用Window XP和Windows server
2003操作系统的主机,应及时排查并尽快迁移重要数据,以消除漏洞隐患。

(二) 临时缓解

如用户不方便升级,可采取以下临时解决方案:

  1. 关闭Windows Server
    137、139、445、3389端口。若3389端口必须开启,则关闭Windows
    Server智能卡登陆功能。

2.
加强访问控制策略,尤其针对137、139、445、3389端口。同时加强对以上端口的内网审计,消除可能存在的安全隐患。

  1. 及时更新相关的终端安全软件,以确保添加最新的安全策略和防护特征。

附件一 漏洞详情

  1. CNNVD-201703-726 Microsoft Windows SMB 输入验证漏洞

CVE编号:CVE-2017-0143

参考链接:

  1. CNNVD-201703-725 Microsoft Windows SMB 输入验证漏洞

CVE编号:CVE-2017-0144

参考链接:

  1. CNNVD-201703-724 Microsoft Windows SMB 输入验证漏洞

CVE编号:CVE-2017-0145

参考链接:

  1. CNNVD-201703-723 Microsoft Windows SMB 输入验证漏洞

CVE编号:CVE-2017-0146

参考链接:

  1. CNNVD-201703-722 Microsoft Windows SMB 信息泄露漏洞

CVE编号:CVE-2017-0147

参考链接:

  1. CNNVD-201703-721 Microsoft Windows SMB 输入验证漏洞

CVE编号:CVE-2017-0148

参考链接:

  1. CNNVD-201009-132 Windows Print Spooler服务输入验证漏洞

CVE编号:CVE-2010-2729

参考链接:

  1. CNNVD-201411-318 多款Microsoft Windows产品远程提权漏洞

CVE编号:CVE-2014-6324

参考链接:

  1. CNNVD-200910-226 Microsoft Windows SMB2字段验证远程拒绝服务漏洞

CVE编号:CVE-2009-2526

参考链接:

  1. CNNVD-200910-232 Microsoft Windows SMB2命令值远程代码执行漏洞

CVE编号:CVE-2009-2532

参考链接:

  1. CNNVD-200909-131 Microsoft Windows Vista和Windows
    7畸形SMB报文远程拒绝服务漏洞

CVE编号:CVE-2009-3103

参考链接:

  1. CNNVD-200810-406 Windows Server服务 RPC请求缓冲区溢出漏洞

CVE编号:CVE-2008-4250

参考链接:

附件二 补丁链接

  1. 微软公告MS17-010

对应漏洞编号:

CNNVD-201703-726(CVE-2017-0143)、CNNVD-201703-725(CVE-2017-0144)、CNNVD-201703-724(CVE-2017-0145)、CNNVD-201703-723(CVE-2017-0146)、CNNVD-201703-722(CVE-2017-0147)、CNNVD-201703-721(CVE-2017-0148)

补丁下载链接:

1) 微软补丁编号:KB4012212

2) 微软补丁编号:KB4012213

3) 微软补丁编号:KB4012214

4) 微软补丁编号:KB4012215

5) 微软补丁编号:KB4012216

6) 微软补丁编号:KB4012217

7) 微软补丁编号:KB4012598

8) 微软补丁编号:KB4013198

9) 微软补丁编号:KB4013429

10) 微软补丁编号:KB4012606

  1. 微软公告MS10-061

对应漏洞编号:

CNNVD-201009-132(CVE-2010-2729)

补丁下载链接:

1) 微软补丁编号:KB2347290

  1. 微软公告MS14-068

对应漏洞编号:

CNNVD-201411-318(CVE-2014-6324)

补丁下载链接:

1) 微软补丁编号:KB3011780

  1. 微软公告MS09-050

对应漏洞编号:

CNNVD-200910-226(CVE-2009-2526)、CNNVD-200910-232(CVE-2009-2532)、CNNVD-200909-131(CVE-2009-3103)

补丁下载链接:

1) 微软补丁编号:KB975517

  1. 微软公告MS08-067

对应漏洞编号:

CNNVD-200810-406(CVE-2008-4250)

补丁下载链接:

1) 微软补丁编号:KB958644

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图