Apache Tomcat管理应用Servlets安全绕过漏洞

漏洞起因
设计错误
危险等级

 
影响系统
Apache Tomcat 7.x
 
 
不受影响系统
 
危害
远程攻击者利用漏洞获得敏感信息或部署恶意应用程序。
 
攻击所需条件
攻击者必须共享主机环境的Apache Tomcat。
 
漏洞信息
Apache Tomcat是一款开放源码的JSP应用服务器程序。
此问题仅影响运行在不可信环境下(如共享主机环境)的WEB应用程序。Apache Tomcat附带的管理应用Servlets的功能实现只能提供给上下文标记为特权的WEB应用程序,但是没有对此做正确的检查,这允许不可信WEB应用程序使用管理应用程序的某些功能。如获得运行的WEB应用程序上的信息或部署额外的WEB应用程序。
 
测试方法
 
厂商解决方案 
Apache Tomcat 7.0.22已经修复此漏洞,建议用户下载使用:
http://tomcat.apache.org/security-7.html
 
漏洞提供者
Ate Douma.

发表评论?

0 条评论。

发表评论