CNNVD关于Apache Tomcat安全绕过漏洞情况的通报

近日，国家信息安全漏洞库（CNNVD）收到关于ApacheTomcat安全绕过漏洞（CNNVD-201706-192）情况的报送。攻击者可利用该漏洞绕过安全限制，执行未授权的操作。目前，Apache官方已针对上述漏洞发布修复补丁。CNNVD对此进行了跟踪分析，具体情况如下：

一、漏洞简介
      ApacheTomcat是美国阿帕奇（Apache）软件基金会下属的Jakarta项目的一款轻量级Web应用服务器，它主要用于开发和调试JSP程序，适用于中小型系统。Default Servlet是其中的一个对静态资源进行处理的类。
      如果Apache Tomcat中的Default Servlet是配置为允许写入，就可能引发安全绕过漏洞（CNNVD-201706-192，CVE-2017-5664） 。攻击者可利用该漏洞绕过安全限制，执行未授权的操作。以下版本受到影响：Apache Tomcat 9.0.0.M1版本至9.0.0.M20版本，8.5.0版本至8.5.14版本，8.0.0.RC1版本至8.0.43版本，7.0.0版本至7.0.77版本。

二、漏洞危害
      攻击者可以利用该漏洞将用户的请求重定向到错误页面，发起恶意攻击。据统计，全球共有两百多万个网站部署该服务器，中国占近35%，影响范围较大。

三、修复建议
      目前，Apache官方已针对该漏洞发布修复补丁，CNNVD建议部署使用Apache Tomcat的单位及时检查是否受影响，若受影响，及时升级补丁以修复漏洞。