Tomcatの複数の脆弱性(CVE-2017-12617, CVE-2017-12615 , CVE-2017-12616)が、範囲が広がって出てました。 readonly initialization parameterをfalseにしてPUTを有効化している時にaffectする(任意のjsp fileを不正にPUTしてから好き放題する)、とのことなので、きょうびはRESTでPUT多用するから影響範囲広いんでしょうか? 否、「default servletのinitialization parameter(具体的にはweb.xmlのservlettagのinit-param)でfalseを明示した時(defaultはtrue)なので、殆どのところはそんなことしてないから大丈夫なんじゃないでしょうか。 実際、POCで試してみたところ、うちのsiteは(version的には範囲内ですが)Not Vulnerable to CVE-2017-12617と出ました。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

$ python tomcat-cve-2017-12617.py -u http://localhost:8080



   _______      ________    ___   ___  __ ______     __ ___   __ __ ______ 
  / ____\ \    / /  ____|  |__ \ / _ \/_ |____  |   /_ |__ \ / //_ |____  |
 | |     \ \  / /| |__ ______ ) | | | || |   / /_____| |  ) / /_ | |   / /
 | |      \ \/ / |  __|______/ /| | | || |  / /______| | / / '_ \| |  / /
 | |____   \  /  | |____    / /_| |_| || | / /       | |/ /| (_) | | / /
  \_____|   \/   |______|  |____|\___/ |_|/_/        |_|____\___/|_|/_/


[@intx0x80]


Poc Filename  Poc.jsp
Not Vulnerable to CVE-2017-12617

各種POCがありました。

• 各漏洞poc、Exp的收集或写

特にStruts2については、↓にあります。

• https://github.com/coffeehb/Some-PoC-oR-ExP/tree/master/Struts2

• Apache HTTP Serverのバージョンを当てる方法 bannerは信じちゃダメですよね。ぼくも対策を求められて面倒くさかったのでbinaryを偽装した覚えがあります。

• Apache Struts 2における脆弱性 (S2-052、CVE-2017-9805)は悪用可能と確認 に、「既に攻撃コードが公開されており、中国のWebサイトでは URL を入力するだけで脆弱性の有無をチェックするサイトも登場しています」とあるのですが当該サイトの画像だけでlinkが無かったので、探してもらいました。↓

• Seebug Vulnerability Scan Online Tomcat代码执行漏洞(CVE-2017-12615)
  ただ、↑を試したところ、loginしてないと試せなくて、sign upするには電話番号とSNS codeまで必要なので、諦めました。

• Apache Struts 2の脆弱性(S2-052)や(S2-053)についてのまとめてみた。 POCへのlinkがありました。