近日，國家信息安全漏洞庫（CNNVD）收到關(guān)于ApacheTomcat安全繞過漏洞（CNNVD-201706-192）情況的報(bào)送。攻擊者可利用該漏洞繞過安全限制，執(zhí)行未授權(quán)的操作。目前，Apache官方已針對上述漏洞發(fā)布修復(fù)補(bǔ)丁。CNNVD對此進(jìn)行了跟蹤分析，具體情況如下：

一、漏洞簡介
      ApacheTomcat是美國阿帕奇（Apache）軟件基金會下屬的Jakarta項(xiàng)目的一款輕量級Web應(yīng)用服務(wù)器，它主要用于開發(fā)和調(diào)試JSP程序，適用于中小型系統(tǒng)。Default Servlet是其中的一個(gè)對靜態(tài)資源進(jìn)行處理的類。
      如果Apache Tomcat中的Default Servlet是配置為允許寫入，就可能引發(fā)安全繞過漏洞（CNNVD-201706-192，CVE-2017-5664） 。攻擊者可利用該漏洞繞過安全限制，執(zhí)行未授權(quán)的操作。以下版本受到影響：Apache Tomcat 9.0.0.M1版本至9.0.0.M20版本，8.5.0版本至8.5.14版本，8.0.0.RC1版本至8.0.43版本，7.0.0版本至7.0.77版本。

二、漏洞危害
      攻擊者可以利用該漏洞將用戶的請求重定向到錯(cuò)誤頁面，發(fā)起惡意攻擊。據(jù)統(tǒng)計(jì)，全球共有兩百多萬個(gè)網(wǎng)站部署該服務(wù)器，中國占近35%，影響范圍較大。

三、修復(fù)建議
      目前，Apache官方已針對該漏洞發(fā)布修復(fù)補(bǔ)丁，CNNVD建議部署使用Apache Tomcat的單位及時(shí)檢查是否受影響，若受影響，及時(shí)升級補(bǔ)丁以修復(fù)漏洞。