Apache Tomcat安全绕过漏洞（CVE-2018-1305）处置建议

近日，Apache发布安全公告称Apache Tomcat 7、8、9多个版本存在安全绕过漏洞。攻击者可以利用这个问题，绕过某些安全限制来执行未经授权的操作，这可能有助于进一步攻击。

Apache Tomcat servlet 注释定义的安全约束，只在servlet加载后才应用一次。由于以这种方式定义的安全约束，应用于URL模式及该点下任何URL，取决于servlet加载的次序，这可能会将资源暴露给未经授权访问它们的用户。

详情请参考如下链接：

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E

影响范围

受影响版本

• Apache Tomcat < 9.0.5
  

• Apache Tomcat < 8.5.28

• Apache Tomcat < 8.0.50

• Apache Tomcat < 7.0.85

安全版本

• Apache Tomcat 9.0.5
  

• Apache Tomcat 8.5.28

• Apache Tomcat 8.0.50

• Apache Tomcat 7.0.85

影响排查

根据官方描述，此漏洞触发的前提有：

1.业务系统部署在低版本的Tomcat中。

2.业务系统通过注解的方式定义安全约束。

因此，可通过Tomcat版本或者业务系统安全约束定义排查的方式来判断自身业务系统是否会受影响，详情如下所述。

Tomcat版本判断

通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号，可通过查看解压后的文件夹名称来确定当前的版本。

如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本，以Windows系统为例，进入tomcat安装目录的bin目录，输入命令version.bat（Linux系统下输入version.sh）后，可查看当前的软件版本号。

02

业务系统影响判断

当使用的Tomcat版本在受影响的范围内，业务系统同时还要满足定义ServletSecurity注解进行ACL保护控制，相关企业可直接咨询开发人员当前应用系统是否应用了注解有ServletSecurity的ACL访问控制。

若运行的业务系统无相关源代码，且无对应的开发人员可咨询，可通过如下代码检查的方式进行判断。

将Tomcat中部署的应用系统（应用部署目录为{Tomcat Home}/webapps/）拷贝出来，使用jd-gui反编译工具反编译应用系统class文件（位于/WEB-INF/目录中），并通过关键字搜索的方式判断是否应用了@ServletSecurity。

如上图所示，若此系统运行于低版本的Tomcat中，会受到漏洞的影响。

03

产品检测

可使用绿盟远程安全评估系统（RSAS）对目标进行扫描，最新的检测插件正在研发，预计下一版本升级包中会添加检测，请及时关注官网的更新信息，下载并升级到最新插件版本。

产品

升级包版本

RSAS

V6.0R02F01.0903

防护方案

版本升级

Apache官方在新版本Apache Tomcat 9.0.5、8.5.28、8.0.50、7.0.85中修复了该漏洞，请受影响的用户尽快升级，最新版下载链接可参考以下列表，可根据具体的系统环境下载对应的安装包：

版本

下载链接

Apache Tomcat 9.0.5

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.28

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 8.0.50

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.85

https://tomcat.apache.org/download-70.cgi

注意：建议用户在升级之前，做好数据和运行环境的备份工作，防止升级带来系统不可用的风险。

02

临时防护方案

触发该漏洞的前提条件是在启动tomcat后，访问父路径“/servlet1”之前，先访问了子路径“/servlet1/servlet2”，从而导致对servlet1的ACL保护没有被servlet2继承，如果先访问了servlet1，Tomcat会加载ACL并对servlet2进行保护。结合该漏洞的特点，可以手动访问一次“/servlet1”强制Tomcat加载ACL，只要Tomcat不重启，ACL保护会一直生效。

请相关用户结合各自业务系统的具体功能，评估父路径“/servlet1”是否可以手动访问后再进行操作，有关该漏洞的详细信息请点击下方“原文链接”。

点击“阅读原文”查看完整内容

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP