【漏洞預(yù)警】Apache Tomcat再曝遠程代碼執(zhí)行漏洞(CVE-2016-8735)

時隔十月發(fā)布的CVE-2016-5425 Apache Tomcat本地提權(quán)漏洞預(yù)警不久，近日Apache Tomcat又被爆出存在遠程代碼執(zhí)行漏洞(CVE-2016-8735)。

Tomcat是運行在Apache上的應(yīng)用服務(wù)器，支持運行Servlet/JSP應(yīng)用程序的容器——Tomcat可看作是Apache的擴展，不過實際上Tomcat也可以獨立于Apache運行。

漏洞編號：

CVE-2016-8735

漏洞概述：

Oracle修復(fù)了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。

Tomcat中也使用了JmxRemoteLifecycleListener這個監(jiān)聽器,但是Tomcat并沒有及時升級，所以導(dǎo)致了這個遠程代碼執(zhí)行漏洞。

此漏洞在嚴重程度上被定義為Important，而非Critical，主要是因為采用此listener的數(shù)量并不算大，而且即便此listener被利用，此處JMX端口訪問對攻擊者而言也相當不尋常。

影響范圍：

Apache Tomcat 9.0.0.M1 to 9.0.0.M11

Apache Tomcat 8.5.0 to 8.5.6

Apache Tomcat 8.0.0.RC1 to 8.0.38

Apache Tomcat 7.0.0 to 7.0.72

Apache Tomcat 6.0.0 to 6.0.47

修復(fù)方案：

升級到不受影響的版本，包括了：

Apache Tomcat 9.0.0.M13或更新版本 (Apache Tomcat 9.0.0.M12實際上也修復(fù)了此漏洞，但并未發(fā)布)；

Apache Tomcat 8.5.8或更新版本 (Apache Tomcat 8.5.7實際上也修復(fù)了此漏洞，但并未發(fā)布)；

Apache Tomcat 8.0.39或更新版本；

Apache Tomcat 7.0.73或更新版本；

Apache Tomcat 6.0.48或更新版本

漏洞PoC：

Tomcat 8.0.36，conf/server.xml添加配置，添加catalina-jmx-remote.jar包，修改catalina文件配置：

F:\HackTools\EXP>java -cp ysoserial-master-v0.0.4.jar ysoserial.exploit.RMIRegistryExploit localhost 10001 Groovy1 calc.exeRefer：

http://seclists.org/oss-sec/2016/q4/502

https://vulners.com/f5/SOL49820145?utm_source=dlvr.it&utm_medium=twitter

https://marc.ttias.be/varia-announce/2016-11/msg00036.php

在線檢測

目前網(wǎng)藤風險感知系統(tǒng)（riskivy.com）已支持該漏洞檢測。您可以免費申請試用網(wǎng)藤漏洞感知服務(wù)。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。