关于Apache Tomcat漏洞情况的通报

olga

　　近日，国家信息安全漏洞库（CNNVD）收到关于Apache Tomcat存在远程代码执行漏洞(CNNVD-201611-609)的情况报送。该漏洞源于多个Tomcat历史版本使用了存在反序列化漏洞（CNNVD-201604-459）的监听器组件。目前，Apache Tomcat已升级此监听器组件版本，由于上述漏洞影响范围广，危害级别高，国家信息安全漏洞库（CNNVD）对此进行了跟踪分析，情况如下：
一、漏洞简介
　　ApacheTomcat是美国阿帕奇（Apache）软件基金会下属的Jakarta项目的一款轻量级Web应用服务器，它主要用于开发和调试JSP程序，适用于中小型系统。
　　多个Apache Tomcat的历史版本存在远程代码执行漏洞（CNNVD-201611-609，CVE-2016-8735）。由于Apache Tomcat使用了存在反序列化漏洞（CNNVD-201604-459，CVE-2016-3427）的JmxRemoteLifecycleListener监听器，导致***者可利用该漏洞在开启该监听器的Apache Tomcat服务器上执行任意命令。
　　受影响的Apache Tomcat具体版本如下：
　　Apache Tomcat 9.0.0.M1至9.0.0.M11版本
　　Apache Tomcat 8.5.0至8.5.6版本
　　Apache Tomcat 8.0.0.RC1至8.0.38版本
　　Apache Tomcat 7.0.0至7.0.72版本
　　Apache Tomcat 6.0.0至6.0.47版本
二、漏洞危害
　　受影响版本的Tomcat使用了存在反序列化漏洞（CNNVD-201604-459）的JmxRemoteLifecycleListener监听器组件，而针对该组件，2016年4月，Oracle官方网站已发布补丁修复该漏洞。
　　远程***者可利用该漏洞在开启JmxRemoteLifecycleListener的Apache Tomcat服务器上执行任意命令，从而完全控制该服务器。
三、修复措施
　　1.受影响用户可通过升级Apache Tomcat至最新版本以修复该漏洞，具体已修复版本如下：
　　Apache Tomcat 9.0.0.M13及以上版本
　　Apache Tomcat 8.5.8及以上版本
　　Apache Tomcat 8.0.39及以上版本
　　Apache Tomcat 7.0.73及以上版本
　　Apache Tomcat 6.0.48及以上版本
　　2. 已开启JmxRemoteLifecycleListener监听器的用户，可设置密码验证以消除漏洞影响。
　　原文链接：阿里聚安全之安全博客：http://jaq.alibaba.com/community/art/show?spm=a313e.7916646.24000001.10.5Fnefr&articleid=647