|
|
| 顶 | 踩 |
| 标题 | 简介 | 类型 | 公开时间 | ||||||||||
|
|||||||||||||
|
|||||||||||||
| 详情 | |||||||||||||
|
[SAFE-ID: JIWO-2024-1364] 作者: ecawen 发表于: [2018-02-28]
本文共 [429] 位读者顶过
1. 漏洞概述
近日,Apache Tomcat 爆出安全绕过漏洞 ,CVE 编号 CVE-2018-1305,ApacheTomcat 7、8、9 多个版本受到影响。攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作。这可能有助于进一步攻击。
[出自:jiwo.org] 在 Apache Tomcat 9.0.0.M1 到 9.0.4, 8.5.0 到 8.5.27, 8.0.0.RC1 到 8.0.49 ,7.0.0 到 7.0.84 中,Apache Tomcat servlet 注释定义的安全约束,只在 servlet 加载后才应用一次。由于以这种方式定义的安全约束,应用于 URL 模式及该点下任何 URL,很可能取决于 servlet 加载的次序-对于某些不应用的安全约束。这可能会将资源暴露给未经授权访问它们的用户。
2.漏洞基本信息
漏洞名称 安全绕过漏洞 影响范围 Redhat JBoss Web Server (JWS) 3.0 Redhat JBoss EWS 2 Apache Tomcat 9.0.4 Apache Tomcat 9.0.1 Apache Tomcat 8.5.27 Apache Tomcat 8.5.23 Apache Tomcat 8.5.16 Apache Tomcat 8.5.15 Apache Tomcat 8.5.14 Apache Tomcat 8.5.13 Apache Tomcat 8.5.12 Apache Tomcat 8.5.11 Apache Tomcat 8.5.9 Apache Tomcat 8.5.8 Apache Tomcat 8.5.7 Apache Tomcat 8.5.6 Apache Tomcat 8.5.5 Apache Tomcat 8.5.4 Apache Tomcat 8.5.1 Apache Tomcat 8.0.49 Apache Tomcat 8.0.47 Apache Tomcat 8.0.45 Apache Tomcat 8.0.44 Apache Tomcat 8.0.43 Apache Tomcat 8.0.42 Apache Tomcat 8.0.41 Apache Tomcat 8.0.40 Apache Tomcat 8.0.39 Apache Tomcat 8.0.38 Apache Tomcat 8.0.37 Apache Tomcat 8.0.36 Apache Tomcat 8.0.35 Apache Tomcat 8.0.34 Apache Tomcat 8.0.33 Apache Tomcat 8.0.30 Apache Tomcat 8.0.27 Apache Tomcat 8.0.19 Apache Tomcat 8.0.17 Apache Tomcat 8.0.15 Apache Tomcat 8.0.3 Apache Tomcat 8.0.1 Apache Tomcat 7.0.84 Apache Tomcat 7.0.82 Apache Tomcat 7.0.81 Apache Tomcat 7.0.80 Apache Tomcat 7.0.79 Apache Tomcat 7.0.78 Apache Tomcat 7.0.77 Apache Tomcat 7.0.76 Apache Tomcat 7.0.75 Apache Tomcat 7.0.74 Apache Tomcat 7.0.73 Apache Tomcat 7.0.72 Apache Tomcat 7.0.70 Apache Tomcat 7.0.69 Apache Tomcat 7.0.67 Apache Tomcat 7.0.65 Apache Tomcat 7.0.60 Apache Tomcat 7.0.59 Apache Tomcat 7.0.57 Apache Tomcat 7.0.54 Apache Tomcat 7.0.53 Apache Tomcat 7.0.50 Apache Tomcat 7.0.33 Apache Tomcat 7.0.32 Apache Tomcat 7.0.31 Apache Tomcat 7.0.30 Apache Tomcat 7.0.29 Apache Tomcat 7.0.28 Apache Tomcat 7.0.27 Apache Tomcat 7.0.26 Apache Tomcat 7.0.25 Apache Tomcat 7.0.24 Apache Tomcat 7.0.23 Apache Tomcat 7.0.17 Apache Tomcat 7.0.16 Apache Tomcat 7.0.15 Apache Tomcat 7.0.14 Apache Tomcat 7.0.13 Apache Tomcat 7.0.12 Apache Tomcat 7.0.8 Apache Tomcat 7.0.7 Apache Tomcat 7.0.6 Apache Tomcat 7.0.4 Apache Tomcat 7.0.3 Apache Tomcat 7.0.2 Apache Tomcat 7.0.1 Apache Tomcat 7.0 Apache Tomcat 9.0.0.M1 Apache Tomcat 8.5.3 Apache Tomcat 8.5.2 Apache Tomcat 8.5.0 Apache Tomcat 8.0.32 Apache Tomcat 8.0.0.RC1 Apache Tomcat 8.0.0-RC6 Apache Tomcat 8.0.0-RC5 Apache Tomcat 8.0.0-RC3 Apache Tomcat 8.0.0-RC10 Apache Tomcat 8.0.0-RC1 Apache Tomcat 8.0.0 Rc5 Apache Tomcat 8.0.0 Rc2 Apache Tomcat 8.0.0 Rc10 Apache Tomcat 8.0.0 Rc1 Apache Tomcat 7.0.68 Apache Tomcat 7.0.55 Apache Tomcat 7.0.5 Apache Tomcat 7.0.49 Apache Tomcat 7.0.48 Apache Tomcat 7.0.47 Apache Tomcat 7.0.46 Apache Tomcat 7.0.45 Apache Tomcat 7.0.44 Apache Tomcat 7.0.43 Apache Tomcat 7.0.42 Apache Tomcat 7.0.41 Apache Tomcat 7.0.40 Apache Tomcat 7.0.39 Apache Tomcat 7.0.38 Apache Tomcat 7.0.37 Apache Tomcat 7.0.36 Apache Tomcat 7.0.35 Apache Tomcat 7.0.34 Apache Tomcat 7.0.22 Apache Tomcat 7.0.21 Apache Tomcat 7.0.20 Apache Tomcat 7.0.19 Apache Tomcat 7.0.18 Apache Tomcat 7.0.11 Apache Tomcat 7.0.10 漏洞危害 中危 漏洞ID CVE-2018-1305
3.修复建议
当前版本升级到以下三个版本任意一个。
Apache Tomcat 8.5.28 Apache Tomcat 8.0.50 Apache Tomcat 7.0.85 |
|||||||||||||
|
|
|
| 顶 | 踩 |