iidaの日記: CVE-2017-12617 Apache Tomcat Remote Code Execution via JSP upload
日記 by
iida
当初7系列 (7.0.0から7.0.81まで) のApache Tomcatが内包するとされていた脆弱性 (CVE-2017-12617) だが、
9系列 (9.0.0.M1から9.0.0 まで)
8.5系列 (8.5.0から8.5.22まで)
8.0系列 (8.0.0.RC1から8.0.46まで)
に拡大された模様。
既定のJavaサーブレットとWebDAVのJavaサーブレットの脆弱性だ。
Javaサーブレットのreadonlyパラメータを、あからさまにfalseと設定した場合、脆弱性が悪用可能になる。
無設定かtrueとあからさまに設定すれば、安全で、既定では無設定。
悪用可能な場合、JSPのアップロード後、そのJSPを閲覧することで、JSPの含む任意のコードを実行できる、というもの。
もし攻撃者がTLS/SSLサーバーの私有鍵を表示するJSPを書いて、アップロードし、閲覧すれば、私有鍵が漏えいすることになり、もし脆
弱性が悪用可能な状態なら、アップグレードするか、悪用不能な状態に変えることが強く推奨される。
幸いにも既定ではreadonlyパラメータは無設定で、脆弱性は悪用不能なので、影響範囲は限られよう。
CVE-2017-12617 Apache Tomcat Remote Code Execution via JSP upload More ログイン