CVE-2016-8735 Apache Tomcat 远程代码执行

漏洞编号

CVE-2016-8735

严重程度

Important

供应商

The Apache Software Foundation

影响范围

1. Apache Tomcat 9.0.0.M1 to 9.0.0.M11
2. Apache Tomcat 8.5.0 to 8.5.6
3. Apache Tomcat 8.0.0.RC1 to 8.0.38
4. Apache Tomcat 7.0.0 to 7.0.72
5. Apache Tomcat 6.0.0 to 6.0.47

更早的版本或未支持的版本也有可能受影响。

漏洞概述

Oracle修复了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 Tomcat中也使用了JmxRemoteLifecycleListener这个监听器,但是Tomcat并没有及时升级，所以导致了这个远程代码执行漏洞。 此漏洞在严重程度上被定义为Important，而非Critical，主要是因为采用此listener的数量并不算大，而且即便此listener被利用，此处JMX端口访问对攻击者而言也相当不寻常。

修复方案

升级到不受影响的版本，包括了：

• Apache Tomcat 9.0.0.M13 或者更新版本 (Apache Tomcat 9.0.0.M12实际上也修复了此漏洞，但并未发布)
• Apache Tomcat 8.5.8 或者更新版本 (Apache Tomcat 8.5.7实际上也修复了此漏洞，但并未发布)
• Apache Tomcat 8.0.39 或者更新版本
• Apache Tomcat 7.0.73 或者更新版本
• Apache Tomcat 6.0.48 或者更新版本

发现者

这个问题由Pierre Ernst发现，并且负责地报告给了Apache Tomcat Security Team。

参考资料

• https://marc.ttias.be/varia-announce/2016-11/msg00036.php
• https://vulners.com/f5/SOL49820145?utm_source=dlvr.it&utm_medium%20=twitter
• http://seclists.org/oss-sec/2016/q4/502