【漏洞预警】Apache Tomcat再曝远程代码执行漏洞(CVE-2016-8735)
时隔十月发布的CVE-2016-5425 Apache Tomcat本地提权漏洞预警不久,近日Apache Tomcat又被爆出存在远程代码执行漏洞(CVE-2016-8735)。
Tomcat是运行在Apache上的应用服务器,支持运行Servlet/JSP应用程序的容器——Tomcat可看作是Apache的扩展,不过实际上Tomcat也可以独立于Apache运行。
漏洞编号:
CVE-2016-8735
漏洞概述:
Oracle修复了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。
Tomcat中也使用了JmxRemoteLifecycleListener这个监听器,但是Tomcat并没有及时升级,所以导致了这个远程代码执行漏洞。
此漏洞在严重程度上被定义为Important,而非Critical,主要是因为采用此listener的数量并不算大,而且即便此listener被利用,此处JMX端口访问对攻击者而言也相当不寻常。
影响范围:
Apache Tomcat 9.0.0.M1 to 9.0.0.M11
Apache Tomcat 8.5.0 to 8.5.6
Apache Tomcat 8.0.0.RC1 to 8.0.38
Apache Tomcat 7.0.0 to 7.0.72
Apache Tomcat 6.0.0 to 6.0.47
修复方案:
升级到不受影响的版本,包括了:
Apache Tomcat 9.0.0.M13或更新版本 (Apache Tomcat 9.0.0.M12实际上也修复了此漏洞,但并未发布);
Apache Tomcat 8.5.8或更新版本 (Apache Tomcat 8.5.7实际上也修复了此漏洞,但并未发布);
Apache Tomcat 8.0.39或更新版本;
Apache Tomcat 7.0.73或更新版本;
Apache Tomcat 6.0.48或更新版本
漏洞PoC:
Tomcat 8.0.36,conf/server.xml添加配置,添加catalina-jmx-remote.jar包,修改catalina文件配置:
F:\HackTools\EXP>java -cp ysoserial-master-v0.0.4.jar ysoserial.exploit.RMIRegistryExploit localhost 10001 Groovy1 calc.exe
Refer:
http://seclists.org/oss-sec/2016/q4/502
https://vulners.com/f5/SOL49820145?utm_source=dlvr.it&utm_medium=twitter
https://marc.ttias.be/varia-announce/2016-11/msg00036.php
在线检测
目前网藤智能安全系统(riskivy.com)已支持该漏洞检测。您可以免费申请试用网藤漏洞感知服务。
* 转载请注明来自FreeBuf.COM
这些评论亮了
-
hans_1990这个要启用JmxRemoteLifecycleListener包,默认情况下是不启用的 -
安全,应该也遵守一些底线。。。
炒作 夸大 这些行为的出现,最后往往都会遭遇打脸的尴尬。 -
jjjjssss@ tahf 怎么查看这个JmxRemoteLifecycleListener的启用状态 怎么关闭它?
特别推荐
推荐关注
官方公众号
聚焦企业安全
官方QQ群
FreeBuf官方微博活动预告
-
5月
安全从业者必备职业技能已结束 -
5月
传统SDL已过时 如何用安全基建理念打造新一代泛应用安全体系已结束 -
4月
快速掌握安卓APP漏洞挖掘已结束 -
4月
XSS漏洞由浅入深已结束
已有 10 条评论
这个要启用JmxRemoteLifecycleListener包,默认情况下是不启用的
@ hans_1990 试了下,确实Tomcat默认是没有catalina-jmx-remote.jar包的。影响范围可能比较受限。
@ tahf 怎么查看这个JmxRemoteLifecycleListener的启用状态 怎么关闭它?
同意楼上的说法.检查了默认没启用.杀伤力受到限制
夏老板这么快就研究完这个漏洞了
This issue has been rated as important rather than
critical due to the small number of installations using this listener
and that it would be highly unusual for the JMX ports to be accessible
to an attacker even when the listener is used.
很少有人启用JmxRemoteLifecycleListener,而且就算启用了,也几乎不可能放在公网上让你访问
当然,做全端口映射的SB公司除外
@ fuckbaidu 是的,tomcat默认没启用这个功能,但是zabbix的agent可能会存在
也恳请个别公司在利用事件驱动安全的同时,保持细致谨慎态度,切勿过度炒作,做一个有职业道德、有底线的有用之人!
恳请个别公司在利用事件驱动安全的同时,保持细致谨慎态度,切勿过度炒作,做一个有职业道德、有底线的有用之人!
安全,应该也遵守一些底线。。。
炒作 夸大 这些行为的出现,最后往往都会遭遇打脸的尴尬。