专栏名称: 美亚柏科

国内电子数据取证领域龙头企业、网络空间安全专家，主要服务于国内各级司法机关以及行政执法部门。公司主营电子数据取证、网络空间安全、大数据信息化产品、专项执法装备等产品，先后被认定为“国家规划布局内重点软件企业”、“国家创新型试点企业”。

Apache Tomcat再曝严重漏洞，789多版本受影响

美亚柏科 · 公众号 · · 2018-02-27 17:26

正文

近日，Apache Tomcat曝出安全绕过漏洞，CVE编号CVE-2018-1305，Apache Tomcat 7、8、9多个版本受到影响。攻击者可以利用这个问题，绕过某些安全限制来执行未经授权的操作。

CVE-2018-1305漏洞概要

CVE ID ：CVE-2018-1305

漏洞影响版本

Apache Tomcat 9.0.0.M1 to 9.0.4

Apache Tomcat 8.5.0 to 8.5.27

Apache Tomcat 8.0.0.RC1 to 8.0.49

Apache Tomcat 7.0.0 to 7.0.84

漏洞涉及厂商

Apache Software Foundation

漏洞涉及产品

Apache Tomcat

安全版本

Apache Tomcat 8.5.28

Apache Tomcat 8.0.50

Apache Tomcat 7.0.85

CVE-2018-1305漏洞评价

CVE评价：

在Apache Tomcat 9.0.0.M1 to 9.0.4, 8.5.0 to 8.5.27, 8.0.0.RC1 to 8.0.49 and 7.0.0 to 7.0.84 中，Apache Tomcat servlet 注释定义的安全约束，只在servlet加载后才应用一次。由于以这种方式定义的安全约束，应用于URL模式及该点下任何URL，很可能取决于servlet加载的次序，对于某些不应用的安全约束。这可能会将资源暴露给未经授权访问它们的用户。