攻防实验室 赛博朔方 


背景介绍
       Apache和Tomcat都是WEB网络服务器,一般Apache是静态解析,tomcat是java应用服务器,动态解析jsp、php等,是一个容器(servlet),可以独立于apache运行。打个比方:Apache是一辆车,上面可以装东西,比如html等;但不能装水,要装水必须要有容器(桶),而这个桶也可以不放在车上,这个就是Tomcat。


漏洞概述
      2017年9月19日,Apache Tomcat官方 修复了2个严重级别的漏洞, 分别为: 信息泄露漏洞(CVE-2017-12616)、远程代码执行漏洞(CVE-2017-12615)。在一定的条件下,通过以上两个漏洞可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险。
CVE-2017-12616:信息泄露漏洞 
      当 Tomcat 中使用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源的 JSP 源代码。
远程代码执行漏洞(CVE-2017-12615)
      如果Apache Tomcat服务器上启用了HTTP PUT请求方法(将web.xml中 readonly 初始化参数由默认值设置为 false),则可能存在远程代码执行漏洞。攻击者可以通过该漏洞上传jsp文件。

攻击面影响

影响面
      该漏洞利用的前提条件需要手动开启readOnly功能,以支持上传操作,在Apache tomcat 7.X版本默认配置的情况下是无法成功利用漏洞,从实际测试来看,漏洞危害性并没有那么高。
      CVE-2017-12615漏洞利用需要在Windows环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数,需要手工添加,默认配置条件下不受此漏洞影响。
      CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数,经过实际测试,Tomcat 7.x版本内默认配置无VirtualDirContext参数,需要手工添加,默认配置条件下不受此漏洞影响。




影响版本:
信息泄露漏洞(CVE-2017-12616)影响范围:Apache Tomcat 7.0.0 – 7.0.80
远程代码执行漏洞(CVE-2017-12615)影响范围:Apache Tomcat 5.x – 9.


修复建议
      根据业务评估配置conf/web.xml文件的readOnly值为Ture或注释参数,禁用PUT方法并重启tomcat服务,临时规避安全风险;注意: 如果禁用PUT方法,对于依赖PUT方法的应用,可能导致业务失效。
建议用户尽快升级到最新版本,官方已经发布了7.0.81版本修复了两个漏洞。


WEB安全最佳实践

如何知道自己网站使用了哪些http方法?


查看响应的 Allow: GET, HEAD, POST, OPTIONS,TRACE

禁用不必要的http方法


IIS
IIS默认拒绝PUT和DELETE请求,如果使用了不安全的方法,建议禁用webDAV模块。

Apache 
<Location /> 
仅允许GET和POST方法,修改后重启服务。
<LimitExcept GET POST > 
  Order Allow,Deny 
  Deny from all 
</LimitExcept> 
</Location>

Tomcat
修改web.xml配置,增加以下内容,并重启tomcat服务: 
<security-constraint>  
   <web-resource-collection>  
      <url-pattern>/*</url-pattern>  
      <http-method>PUT</http-method>  
<http-method>DELETE</http-method>  
<http-method>HEAD</http-method> 
<http-method>OPTIONS</http-method>  
<http-method>TRACE</http-method>  
   </web-resource-collection>  
   <auth-constraint>  
   </auth-constraint>  
 </security-constraint>  
 <login-config>  
   <auth-method>BASIC</auth-method>  
 </login-config>
Logo
向您推荐>>Eolink开发者社区

权威|前沿|技术|干货|国内首个API全生命周期开发者社区

更多推荐

ELK实现containerd的容器日志采集展示【基于logging的全栈监测】

企业级ELK Stack构建介绍

avatar 云原生

深入理解 Mocha 测试框架:从零实现一个 Mocha

前言什么是自动化测试自动化测试在很多团队中都是Devops环节中很难执行起来的一个环节,主要原因在于测试代码的编写工作很难抽象,99%的场景都需要和业务强绑定,而且写测试代码的编写工作量往往比编写实际业务代码的工作量更多。在一些很多业务场景中投入产出比很低,适合写自动化测试的应该是那些中长期业务以及一些诸如组件一样的基础库。自动化测试是个比较大的概念,其中分类也比较多,比如单元测试,端对端测试,集

avatar 云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题,创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置,需要在docker-compose.yml中增加tty:true ,有时候这样也不行,需要再增加一个command:/bin/bash,命令不一定是这个,需要是一个不会退出的命令,然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...

avatar 云原生