CVE-2016-8735 Apache Tomcat 远程代码执行¶
漏洞编号¶
CVE-2016-8735
严重程度¶
Important
供应商¶
The Apache Software Foundation
影响范围¶
- Apache Tomcat 9.0.0.M1 to 9.0.0.M11
- Apache Tomcat 8.5.0 to 8.5.6
- Apache Tomcat 8.0.0.RC1 to 8.0.38
- Apache Tomcat 7.0.0 to 7.0.72
- Apache Tomcat 6.0.0 to 6.0.47
更早的版本或未支持的版本也有可能受影响。
漏洞概述¶
Oracle修复了JmxRemoteLifecycleListener反序列化漏洞(CVE-2016-3427)。 Tomcat中也使用了JmxRemoteLifecycleListener这个监听器,但是Tomcat并没有及时升级,所以导致了这个远程代码执行漏洞。 此漏洞在严重程度上被定义为Important,而非Critical,主要是因为采用此listener的数量并不算大,而且即便此listener被利用,此处JMX端口访问对攻击者而言也相当不寻常。
修复方案¶
升级到不受影响的版本,包括了:
- Apache Tomcat 9.0.0.M13 或者更新版本 (Apache Tomcat 9.0.0.M12实际上也修复了此漏洞,但并未发布)
- Apache Tomcat 8.5.8 或者更新版本 (Apache Tomcat 8.5.7实际上也修复了此漏洞,但并未发布)
- Apache Tomcat 8.0.39 或者更新版本
- Apache Tomcat 7.0.73 或者更新版本
- Apache Tomcat 6.0.48 或者更新版本
发现者¶
这个问题由Pierre Ernst发现,并且负责地报告给了Apache Tomcat Security Team。