Apache Tomcat 发布重要安全修复: Hash:SHA1 CVE-2013-4444:远程代码执行(Remote Code Execution); 安全等级:重要; 影响的版本:Apache Tomcat 7.0.0 至 7.0.39 描述:在非常有限的情况下,攻击者可以上传恶意的 JSP 到 Tomcat 服务器,然后触发执行 JSP。
这种攻击要想成功必须满足下列条件:a) 使用 Oracle Java 1.7.0 update 25 或者更早的版本 (or any other Java implementation where java.io.File is vulnerable to null byte injection).b) 一个 web 应用必须部署 Tomcat 7.0.0 至 7.0.39 版本c) web 应用必须使用 Servlet 3.0 File Upload 特性d) web 应用部署的文件位置必须可写。Tomcat 安全文档建议不要这样做!e) 一个自定义的 JMX 连接器{敏感词} (e.g. the JmxRemoteListener that is not enabled by default) must be configured and be able to load classes from Tomcat's common class loader (i.e. the custom JMX listener must be placed in Tomcat's lib directory)f) 自定义 JMX 监听必须绑定非本地主机,这样才能进行远程攻击(默认绑定本地主机)。如果自定义 JMX {敏感词}绑定本地主机,那也可能遭遇本地攻击。注意,条件 b) 和 c) 可以被以下条件代替:g) web 应用部署使用 Apache Commons File Upload 1.2.1 及以下版本这样的相似漏洞可能存在所有的 Servlet 容器,不只是 Apache Tomcat。迁移:- - Upgrade to Oracle Java 1.7.0 update 40 or later (or any other Java implementation where java.io.File is not vulnerable to null byte injection).- - Use OS file permissions to prevent the process Tomcat is running as from writing to any location within a deployed application.- - Disable any custom JMX listeners- - Upgrade to Apache Tomcat 7.0.40 or later |
