[[119844]]

開(kāi)源WEB容器–Apache+Tomcat老版本很容易受到遠(yuǎn)程代碼執(zhí)行的攻擊。Mark Thomas，一位長(zhǎng)期致力于Apache+Tomcat的工作者稱(chēng)“在某種情況下，用戶可以上傳惡意JSP文件到Tomcat服務(wù)器上運(yùn)行，然后執(zhí)行命令。JSP的后門(mén)可以用來(lái)在服務(wù)器上任意執(zhí)行命令。”

Thomas今日發(fā)出警告稱(chēng)，Tomcat版本7.0.0和7.3.9在發(fā)布補(bǔ)丁之前是脆弱的。利用漏洞(CVE-2014-4444)可執(zhí)行遠(yuǎn)程代碼執(zhí)行攻擊。上周VMware安全工程部，通信與響應(yīng)小組(vSECR)的Pierre Ernst挖掘出了這個(gè)漏洞。

但官方同時(shí)也表示，這個(gè)漏洞談起來(lái)容易，但實(shí)施攻擊有難度。攻擊者必須達(dá)成的一定條件——其中包括：Oracle Java 1.7.0 update 25，或者Tomcat中的更早的脆弱版本。值得一提的是，該系統(tǒng)的文件路徑必須保證可寫(xiě)，而JMX環(huán)境的自定義偵聽(tīng)器必須配置且綁定到本地localhost以外的地址。正因?yàn)檫@些限制，Tomcat的安全團(tuán)隊(duì)把該漏洞從嚴(yán)重降級(jí)為重要，嚴(yán)重程度往往與遠(yuǎn)程執(zhí)行漏洞相關(guān)。

Apache團(tuán)隊(duì)鼓勵(lì)用戶升級(jí)到Tomcat7.0.40，或者將他們的Oracle Java升級(jí)到1.7.0來(lái)減輕危害，要不然就只能等到以后再修補(bǔ)它了。