UCloud-201612-001: Apache Tomcat远程代码执行漏洞安全预警 | U刻
  • UCloud-201612-001: Apache Tomcat远程代码执行漏洞安全预警

    栏目:安全资讯

    tomcat

    尊敬的UCloud用户:

    使用了JmxRemoteLifecycleListener监听器的tomcat存在远程代码执行漏洞。请检查自身业务是否受影响,并及时升级。

    影响范围
    Apache Tomcat 9.0.0.M1 to 9.0.0.M11
    Apache Tomcat 8.5.0 to 8.5.6
    Apache Tomcat 8.0.0.RC1 to 8.0.38
    Apache Tomcat 7.0.0 to 7.0.72
    Apache Tomcat 6.0.0 to 6.0.47

     

    修复方案
    1.升级到不受影响的版本:
    Apache Tomcat 9.0.0.M13或更新版本;
    Apache Tomcat 8.5.8或更新版本;
    Apache Tomcat 8.0.39或更新版本;
    Apache Tomcat 7.0.73或更新版本;
    Apache Tomcat 6.0.48或更新版本;

     

    漏洞详情

    CVE-2016-8735:Oracle修复了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 Tomcat也使用了JmxRemoteLifecycleListener这个监听器,但是Tomcat并没有及时升级,所以存在这个远程代码执行漏洞。只有使用了JmxRemoteLifecycleListener监听器的tomcat才会受到影响,tomcat默认没有启动。

    参考链接