Tomcatの複数の脆弱性(CVE-2017-12617, CVE-2017-12615 , CVE-2017-12616)が、範囲が広がって出てました。
readonly initialization parameter
をfalse
にしてPUT
を有効化している時にaffectする(任意のjsp fileを不正にPUT
してから好き放題する)、とのことなので、きょうびはRESTでPUT
多用するから影響範囲広いんでしょうか? 否、「default servletのinitialization parameter(具体的にはweb.xml
のservlet
tagのinit-param
)でfalse
を明示した時(defaultはtrue
)なので、殆どのところはそんなことしてないから大丈夫なんじゃないでしょうか。
実際、POCで試してみたところ、うちのsiteは(version的には範囲内ですが)Not Vulnerable to CVE-2017-12617
と出ました。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 |
|