Apache Tomcat爆出安全绕过漏洞

2018-06-11    来源:

容器云强势上线!快速搭建集群,上万Linux镜像随意使用

      近日,Apache Tomcat爆出 安全绕过漏洞 ,CVE编号CVE-2018-1305,Apache Tomcat 7、8、9多个版本受到影响。攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作。这可能有助于进一步攻击。SecurityFocus发布预警通告,相关信息如下

CVE-2018-1305漏洞概要

      针对CVE-2018-1305漏洞情况,安全加整理了相关内容如下,这些内容可能来自于CVE-2018-1305涉及厂商、CVE-2018-1305漏洞信息发布组织、CVE、SecurityFocus及其它第三方组织。

CVE-2018-1305漏洞标识

  • CVE ID:CVE-2018-1305
  • BUGTRAQ ID:103144
  • Redhat BugID: 1548282
  • CNNVD ID:【CNNVD漏洞编号】
  • 绿盟科技漏洞库ID:【绿盟科技漏洞库ID】

CVE-2018-1305漏洞相关链接

【增补中】

  • 百度链接:https://www.baidu.com/s?wd=CVE-2018-1305
  • 绿盟科技漏洞库链接:http://www.nsfocus.net/vulndb/{绿盟科技漏洞库ID}
  • SecurityFocus链接:https://www.securityfocus.com/bid/103144/
  • Apache官方链接:https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E
  • Redhat官方链接:https://bugzilla.redhat.com/show_bug.cgi?id=1548282
  • CVE链接:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1305

CVE-2018-1305漏洞描述

【增补中】

CVE评价该漏洞

      在 Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 中,Apache Tomcat servlet 注释定义的安全约束,只在servlet加载后才应用一次。由于以这种方式定义的安全约束,应用于URL模式及该点下任何URL,很可能取决于servlet加载的次序-对于某些不应用的安全约束。这可能会将资源暴露给未经授权访问它们的用户。 

SecurityFocus评价该漏洞

      Apache Tomcat安全绕过漏洞 CVE-2018-1305

Apache Tomcat容易出现安全绕过漏洞。攻击者可以利用这个问题,绕过某些安全限制来执行未经授权的操作。这可能有助于进一步攻击。

Bugtraq ID: 103144
Class: Unknown
CVE: CVE-2018-1305
Remote: Yes
Local: No
Published: Feb 23 2018 12:00AM
Updated: Feb 23 2018 12:00AM
Credit: The vendor reported this issue.
Vulnerable: Redhat JBoss Web Server (JWS) 3.0 
Redhat JBoss EWS 2 
Apache Tomcat 9.0.4 
Apache Tomcat 9.0.1 
Apache Tomcat 8.5.27 
Apache Tomcat 8.5.23 
Apache Tomcat 8.5.16 
Apache Tomcat 8.5.15 
Apache Tomcat 8.5.14 
Apache Tomcat 8.5.13 
Apache Tomcat 8.5.12 
Apache Tomcat 8.5.11 
Apache Tomcat 8.5.9 
Apache Tomcat 8.5.8 
Apache Tomcat 8.5.7 
Apache Tomcat 8.5.6 
Apache Tomcat 8.5.5 
Apache Tomcat 8.5.4 
Apache Tomcat 8.5.1 
Apache Tomcat 8.0.49 
Apache Tomcat 8.0.47 
Apache Tomcat 8.0.45 
Apache Tomcat 8.0.44 
Apache Tomcat 8.0.43 
Apache Tomcat 8.0.42 
Apache Tomcat 8.0.41 
Apache Tomcat 8.0.40 
Apache Tomcat 8.0.39 
Apache Tomcat 8.0.38 
Apache Tomcat 8.0.37 
Apache Tomcat 8.0.36 
Apache Tomcat 8.0.35 
Apache Tomcat 8.0.34 
Apache Tomcat 8.0.33 
Apache Tomcat 8.0.30 
Apache Tomcat 8.0.27 
Apache Tomcat 8.0.19 
Apache Tomcat 8.0.17 
Apache Tomcat 8.0.15 
Apache Tomcat 8.0.3 
Apache Tomcat 8.0.1 
Apache Tomcat 7.0.84 
Apache Tomcat 7.0.82 
Apache Tomcat 7.0.81 
Apache Tomcat 7.0.80 
Apache Tomcat 7.0.79 
Apache Tomcat 7.0.78 
Apache Tomcat 7.0.77 
Apache Tomcat 7.0.76 
Apache Tomcat 7.0.75 
Apache Tomcat 7.0.74 
Apache Tomcat 7.0.73 
Apache Tomcat 7.0.72 
Apache Tomcat 7.0.70 
Apache Tomcat 7.0.69 
Apache Tomcat 7.0.67 
Apache Tomcat 7.0.65 
Apache Tomcat 7.0.60 
Apache Tomcat 7.0.59 
Apache Tomcat 7.0.57 
Apache Tomcat 7.0.54 
Apache Tomcat 7.0.53 
Apache Tomcat 7.0.50 
Apache Tomcat 7.0.33 
Apache Tomcat 7.0.32 
Apache Tomcat 7.0.31 
Apache Tomcat 7.0.30 
Apache Tomcat 7.0.29 
Apache Tomcat 7.0.28 
Apache Tomcat 7.0.27 
Apache Tomcat 7.0.26 
Apache Tomcat 7.0.25 
Apache Tomcat 7.0.24 
Apache Tomcat 7.0.23 
Apache Tomcat 7.0.17 
Apache Tomcat 7.0.16 
Apache Tomcat 7.0.15 
Apache Tomcat 7.0.14 
Apache Tomcat 7.0.13 
Apache Tomcat 7.0.12 
Apache Tomcat 7.0.8 
Apache Tomcat 7.0.7 
Apache Tomcat 7.0.6 
Apache Tomcat 7.0.4 
Apache Tomcat 7.0.3 
Apache Tomcat 7.0.2 
Apache Tomcat 7.0.1 
Apache Tomcat 7.0 
Apache Tomcat 9.0.0.M1 
Apache Tomcat 8.5.3 
Apache Tomcat 8.5.2 
Apache Tomcat 8.5.0 
Apache Tomcat 8.0.32 
Apache Tomcat 8.0.0.RC1 
Apache Tomcat 8.0.0-RC6 
Apache Tomcat 8.0.0-RC5 
Apache Tomcat 8.0.0-RC3 
Apache Tomcat 8.0.0-RC10 
Apache Tomcat 8.0.0-RC1 
Apache Tomcat 8.0.0 Rc5 
Apache Tomcat 8.0.0 Rc2 
Apache Tomcat 8.0.0 Rc10 
Apache Tomcat 8.0.0 Rc1 
Apache Tomcat 7.0.68 
Apache Tomcat 7.0.55 
Apache Tomcat 7.0.5 
Apache Tomcat 7.0.49 
Apache Tomcat 7.0.48 
Apache Tomcat 7.0.47 
Apache Tomcat 7.0.46 
Apache Tomcat 7.0.45 
Apache Tomcat 7.0.44 
Apache Tomcat 7.0.43 
Apache Tomcat 7.0.42 
Apache Tomcat 7.0.41 
Apache Tomcat 7.0.40 
Apache Tomcat 7.0.39 
Apache Tomcat 7.0.38 
Apache Tomcat 7.0.37 
Apache Tomcat 7.0.36 
Apache Tomcat 7.0.35 
Apache Tomcat 7.0.34 
Apache Tomcat 7.0.22 
Apache Tomcat 7.0.21 
Apache Tomcat 7.0.20 
Apache Tomcat 7.0.19 
Apache Tomcat 7.0.18 
Apache Tomcat 7.0.11 
Apache Tomcat 7.0.10
 
Not Vulnerable: Apache Tomcat 8.5.28 
Apache Tomcat 8.0.50 
Apache Tomcat 7.0.85


CVE-2018-1305漏洞影响范围

CVE-2018-1305漏洞涉及厂商

      Apache Software Foundation

CVE-2018-1305漏洞涉及产品

      Apache Tomcat

CVE-2018-1305漏洞影响版本

      Apache Tomcat 9.0.0.M1 to 9.0.4 
      Apache Tomcat 8.5.0 to 8.5.27 
      Apache Tomcat 8.0.0.RC1 to 8.0.49 
      Apache Tomcat 7.0.0 to 7.0.84

CVE-2018-1305漏洞解决方案

【增补中】

Apache声明

Users of the affected versions should apply one of the following mitigations. Upgrade to: 
- Apache Tomcat 9.0.5 or later 
- Apache Tomcat 8.5.28 or later 
- Apache Tomcat 8.0.50 or later 
- Apache Tomcat 7.0.85 or later

【增补中】

{CVE-2018-1305漏洞信息发布组织}声明

【增补中】

转自: http://toutiao.secjia.com/cve-2018-1305

标签: https 安全 漏洞 问题 用户

版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。

上一篇:医生警告称医疗植入物可能成为黑客未来的目标

下一篇:Sophos Intercept X以先进深度学习技术提供预测性防护功能