UCloud-201612-001: Apache Tomcat远程代码执行漏洞安全预警 – U刻

UCloud-201612-001: Apache Tomcat远程代码执行漏洞安全预警 – U刻

UCloud-201612-001: Apache Tomcat远程代码执行漏洞安全预警

UCloud-201612-001: Apache Tomcat远程代码执行漏洞安全预警

云安全团队

2016.12.06
栏目：安全资讯

尊敬的UCloud用户:

使用了JmxRemoteLifecycleListener监听器的tomcat存在远程代码执行漏洞。请检查自身业务是否受影响，并及时升级。

影响范围

Apache Tomcat 9.0.0.M1 to 9.0.0.M11

Apache Tomcat 8.5.0 to 8.5.6

Apache Tomcat 8.0.0.RC1 to 8.0.38

Apache Tomcat 7.0.0 to 7.0.72

Apache Tomcat 6.0.0 to 6.0.47

修复方案

1.升级到不受影响的版本：

Apache Tomcat 9.0.0.M13或更新版本；

Apache Tomcat 8.5.8或更新版本；

Apache Tomcat 8.0.39或更新版本；

Apache Tomcat 7.0.73或更新版本；

Apache Tomcat 6.0.48或更新版本；

漏洞详情

CVE-2016-8735：Oracle修复了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 Tomcat也使用了JmxRemoteLifecycleListener这个监听器,但是Tomcat并没有及时升级，所以存在这个远程代码执行漏洞。只有使用了JmxRemoteLifecycleListener监听器的tomcat才会受到影响，tomcat默认没有启动。

参考链接

https://marc.ttias.be/varia-announce/2016-11/msg00036.php

http://seclists.org/oss-sec/2016/q4/502

*本平台所发布文章信息，版权归UCloud所有，如需转载请注明出处！

云安全团队

查看TA的所有文章