【预警通告】Apache Tomcat 远程代码执行漏洞 CVE-2017-12617

近日，Apache官方发布了Tomcat的新版本，修复了一个远程代码执行漏洞（CVE-2017-12617）。该漏洞源于在HTTP PUT方法时，攻击者可以通过特制请求将JSP文件上传到服务器。 然后可以请求此JSP，让服务器执行该JSP中包含的任意代码。

相关地址：

https://lists.apache.org/thread.html/3fd341a604c4e9eab39e7eaabbbac39c30101a022acc11dd09d7ebcb@%3Cannounce.tomcat.apache.org%3E

http://tomcat.apache.org/security-7.html

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html

受影响的版本

• Apache Tomcat 9.0.0.M1 – 9.0.0

• Apache Tomcat 8.5.0 – 8.5.22

• Apache Tomcat 8.0.0.RC1 - 8.0.46

• Apache Tomcat 7.0.0 – 7.0.81

不受影响的版本

• Apache Tomcat 9.0.1

• Apache Tomcat 8.5.23

• Apache Tomcat 8.0.47

• Apache Tomcat 7.0.82

解决方案

官方已经发布了新版本修复了该漏洞，受影响的用户请尽快升级至最新版本来防护该漏洞。

参考链接：

Apache Tomcat 9.0.1:

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8.5.23/8.0.47:

https://tomcat.apache.org/download-80.cgi

Apache Tomcat 7.0.82:

https://tomcat.apache.org/download-70.cgi

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。

由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。

如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP