Apache Tomcat 安全绕过漏洞 CVE-2018-1305 处置建议

2018-03-02

发布者：9455澳门新葡萄娱乐场官网版

一. 漏洞概述

近日，Apache发布安全公告称Apache Tomcat 7、8、9多个版本存在安全绕过漏洞。攻击者可以利用这个问题，绕过某些安全限制来执行未经授权的操作，这可能有助于进一步攻击。
Apache Tomcat servlet 注释定义的安全约束，只在servlet加载后才应用一次。由于以这种方式定义的安全约束，应用于URL模式及该点下任何URL，很可能取决于servlet加载的次序，将会将资源暴露给未经授权访问它们的用户。
详情请参考如下链接：

https://lists.apache.org/thread.html/d3354bb0a4eda4acc0a66f3eb24a213fdb75d12c7d16060b23e65781@%3Cannounce.tomcat.apache.org%3E

二. 影响范围

受影响版本
Apache Tomcat < 9.0.5
Apache Tomcat < 8.5.28
Apache Tomcat < 8.0.50
Apache Tomcat < 7.0.85

安全版本
Apache Tomcat 9.0.5
Apache Tomcat 8.5.28
Apache Tomcat 8.0.50

Apache Tomcat 7.0.85

三. 影响排查
根据官方描述，此漏洞触发的前提有：
1. 业务系统部署在低版本的Tomcat中。
2. 业务系统通过注解的方式定义安全约束。
因此，可通过Tomcat版本或者业务系统安全约束定义排查的方式来判断自身业务系统是否会受影响，详情如下所述。

3.1 Tomcat版本判断

通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号，可通过查看解压后的文件夹名称来确定当前的版本。

如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本，以Windows系统为例，进入tomcat安装目录的bin目录，输入命令version.bat（Linux系统下输入version.sh）后，可查看当前的软件版本号。

3.2 业务系统影响判断
当使用的Tomcat版本在受影响的范围内，业务系统同时还要满足定义ServletSecurity注解进行ACL保护控制，相关企业可直接咨询开发人员当前应用系统是否应用了注解有ServletSecurity的ACL访问控制。
若运行的业务系统无相关源代码，且无对应的开发人员可咨询，可通过如下代码检查的方式进行判断。

将Tomcat中部署的应用系统（应用部署目录为{Tomcat Home}/webapps/）拷贝出来，使用jd-gui反编译工具反编译应用系统class文件（位于/WEB-INF/目录中），并通过关键字搜索的方式判断是否应用了@ServletSecurity。

如上图所示，若此系统运行于低版本的Tomcat中，会受到漏洞的影响。

3.3 产品检测
可使用9455澳门新葡萄娱乐场官网版远程安全评估系统（RSAS）对目标进行扫描，最新的检测插件正在研发，预计下一版本升级包中会添加检测，请及时关注官网的更新信息，下载并升级到最新插件版本。即将发布的升级包版本如下：

产品：RSAS 升级包版本：V6.0R02F01.0903

四. 防护方案

4.1 版本升级

Apache官方在新版本Apache Tomcat 9.0.5、8.5.28、8.0.50、7.0.85中修复了该漏洞，请受影响的用户尽快升级，最新版下载链接可参考以下列表，可根据具体的系统环境下载对应的安装包：

注意：建议用户在升级之前，做好数据和运行环境的备份工作，防止升级带来系统不可用的风险。

4.2 临时防护方案

触发该漏洞的前提条件是在启动tomcat后，访问父路径“/servlet1”之前，先访问了子路径“/servlet1/servlet2”，从而导致对servlet1的ACL保护没有被servlet2继承，如果先访问了servlet1，Tomcat会加载ACL并对servlet2进行保护。结合该漏洞的特点，可以手动访问一次“/servlet1”强制Tomcat加载ACL，只要Tomcat不重启，ACL保护会一直生效。

请相关用户结合各自业务系统的具体功能，评估父路径“/servlet1”是否可以手动访问后再进行操作，有关该漏洞的详细信息可参考“第五章漏洞复现”。

五. 漏洞复现

Java EE 提供了类似 ACL 权限检查的ServletSecurity注解，可以用于修饰Servlet对其进行保护，如果有两个servlet，Servlet1，访问路径为“/servlet1/*”并且添加了ServletSecurity注解，Servlet2，访问路径为“/servlet1/servlet2/*”但没有ServletSecurity注解，首次访问servlet1/servlet2，servlet1的ServletSecurity注解并不会生效，无法保护“/servlet1/servlet2”路径，因此可能会导致未授权访问。
如果在访问“/servlet1/servlet2”之前先访问过“/servlet1”，Tomcat会加载ACL并启动对“/servlet1/servlet2”的保护，则漏洞不会触发。

部分测试代码如下：

在Servlet1前加上ServletSecurity注解，Servlet2无此注解。

将web.xml文件中servlet相对应的url-pattern修改为如上图所示后，运行该工程。首次访问servlet2的URL，发现可以访问，针对servlet1的ACL并未生效。

第二次访问servlet1的URL，访问被禁止，此时ACL生效。

再次访问servlet2的URL，发现访问被禁止，如果ACL对servlet2生效，必须建立在servlet1被访问过的前提下。

因此漏洞的复现仅限于tomcat启动后，在访问“/servlet1/*”之前先访问了“/servlet1/servlet2/*”页面，若之前存在任何人访问“/servlet1/*”页面，则漏洞不会触发。漏洞危害较高，但是利用条件困难，因此影响范围并不大。

声明
本安全公告仅用来描述可能存在的安全问题，9455澳门新葡萄娱乐场官网版不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，9455澳门新葡萄娱乐场官网版以及安全公告作者不为此承担任何责任。
9455澳门新葡萄娱乐场官网版拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经9455澳门新葡萄娱乐场官网版允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

<<上一篇

2018年平昌冬奥会受到“Olympic Destroyer”攻击

>>下一篇

Linux邮件传输代理Exim缓冲区溢出漏洞 (CVE-2018-6789)