【高危漏洞预警】CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞
发布时间：2017-09-20 12:00

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间，在一定条件下，攻击者可以利用这两个漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的 JSP 文件 ，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。 

阿里云安全提示您关注并尽快自查,以避免被外部恶意利用，导致安全事件发生。

受影响范围:

CVE-2017-12615影响范围： Apache Tomcat 7.0.0 - 7.0.79(windows环境) 

CVE-2017-12616影响范围：Apache Tomcat 7.0.0 - 7.0.80 

漏洞利用条件和方式:  

•  

• 1.CVE-2017-12615漏洞利用需要在Windows环境，且需要将 readonly 初始化参数由默认值设置为 false，经过实际测试，Tomcat 7.x版本内web.xml配置文件内默认配置无readonly参数，需要手工添加，默认配置条件下不受此漏洞影响。

•  

• 2.CVE-2017-12616漏洞需要在server.xml文件配置VirtualDirContext参数，经过实际测试，Tomcat 7.x版本内默认配置无VirtualDirContext参数，需要手工添加，默认配置条件下不受此漏洞影响。

安全方案:

官方已经发布Apache Tomcat 7.0.81版本修复了两个漏洞，建议阿里云用户尽快排查并升级到最新版本。

更多详情请点击

如有任何问题，可随时通过工单或服务电话95187联系反馈。阿里云河南服务中心0371-56982772