【漏洞預警】Apache Tomcat再曝遠程代碼執(zhí)行漏洞(CVE-2016-8735)

時隔十月發(fā)布的CVE-2016-5425 Apache Tomcat本地提權漏洞預警不久，近日Apache Tomcat又被爆出存在遠程代碼執(zhí)行漏洞(CVE-2016-8735)。

Tomcat是運行在Apache上的應用服務器，支持運行Servlet/JSP應用程序的容器——Tomcat可看作是Apache的擴展，不過實際上Tomcat也可以獨立于Apache運行。

漏洞編號：

CVE-2016-8735

漏洞概述：

Oracle修復了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。

Tomcat中也使用了JmxRemoteLifecycleListener這個監(jiān)聽器,但是Tomcat并沒有及時升級，所以導致了這個遠程代碼執(zhí)行漏洞。

此漏洞在嚴重程度上被定義為Important，而非Critical，主要是因為采用此listener的數(shù)量并不算大，而且即便此listener被利用，此處JMX端口訪問對攻擊者而言也相當不尋常。

影響范圍：

Apache Tomcat 9.0.0.M1 to 9.0.0.M11

Apache Tomcat 8.5.0 to 8.5.6

Apache Tomcat 8.0.0.RC1 to 8.0.38

Apache Tomcat 7.0.0 to 7.0.72

Apache Tomcat 6.0.0 to 6.0.47

修復方案：

升級到不受影響的版本，包括了：

Apache Tomcat 9.0.0.M13或更新版本 (Apache Tomcat 9.0.0.M12實際上也修復了此漏洞，但并未發(fā)布)；

Apache Tomcat 8.5.8或更新版本 (Apache Tomcat 8.5.7實際上也修復了此漏洞，但并未發(fā)布)；

Apache Tomcat 8.0.39或更新版本；

Apache Tomcat 7.0.73或更新版本；

Apache Tomcat 6.0.48或更新版本

漏洞PoC：

Tomcat 8.0.36，conf/server.xml添加配置，添加catalina-jmx-remote.jar包，修改catalina文件配置：

F:\HackTools\EXP>java -cp ysoserial-master-v0.0.4.jar ysoserial.exploit.RMIRegistryExploit localhost 10001 Groovy1 calc.exeRefer：

http://seclists.org/oss-sec/2016/q4/502

https://vulners.com/f5/SOL49820145?utm_source=dlvr.it&utm_medium=twitter

https://marc.ttias.be/varia-announce/2016-11/msg00036.php

在線檢測

目前網藤風險感知系統(tǒng)（riskivy.com）已支持該漏洞檢測。您可以免費申請試用網藤漏洞感知服務。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。