my-sky 发表于 2016-12-5 18:31:07

Apache Tomcat再曝远程代码执行漏洞(CVE-2016-8735)

本帖最后由 my-sky 于 2016-12-5 18:33 编辑

时隔十月发布的CVE-2016-5425 Apache Tomcat本地提权漏洞预警不久,近日Apache Tomcat又被爆出存在远程代码执行漏洞(CVE-2016-8735)。
Tomcat是运行在Apache上的应用服务器,支持运行Servlet/JSP应用程序的容器——Tomcat可看作是Apache的扩展,不过实际上Tomcat也可以独立于Apache运行。    http://image.3001.net/images/20161203/14807347803175.jpg!small    漏洞编号:CVE-2016-8735
漏洞概述:Oracle修复了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 http://image.3001.net/images/20161203/14807328214266.png!small    Tomcat中也使用了JmxRemoteLifecycleListener这个监听器,但是Tomcat并没有及时升级,所以导致了这个远程代码执行漏洞。此漏洞在严重程度上被定义为Important,而非Critical,主要是因为采用此listener的数量并不算大,而且即便此listener被利用,此处JMX端口访问对攻击者而言也相当不寻常。   
影响范围:
Apache Tomcat 9.0.0.M1 to 9.0.0.M11Apache Tomcat 8.5.0 to 8.5.6Apache Tomcat 8.0.0.RC1 to 8.0.38Apache Tomcat 7.0.0 to 7.0.72Apache Tomcat 6.0.0 to 6.0.47
修复方案:升级到不受影响的版本,包括了:Apache Tomcat 9.0.0.M13或更新版本(Apache Tomcat 9.0.0.M12实际上也修复了此漏洞,但并未发布);Apache Tomcat 8.5.8或更新版本(Apache Tomcat 8.5.7实际上也修复了此漏洞,但并未发布);Apache Tomcat 8.0.39或更新版本;Apache Tomcat 7.0.73或更新版本;Apache Tomcat 6.0.48或更新版本(原文转自freebuf)
页: [1]
查看完整版本: Apache Tomcat再曝远程代码执行漏洞(CVE-2016-8735)