Apache Tomcat 重要安全修复：CVE-2013-4444

文章转载开源中国

Apache Tomcat 发布重要安全修复：

Hash：SHA1

CVE-2013-4444：远程代码执行(Remote Code Execution)；

安全等级：重要；

影响的版本：Apache Tomcat 7.0.0 至 7.0.39

描述：在非常有限的情况下，攻击者可以上传恶意的 JSP 到 Tomcat 服务器，然后触发执行 JSP。

这种攻击要想成功必须满足下列条件:
a) 使用 Oracle Java 1.7.0 update 25 或者更早的版本 (or any other Java
   implementation where java.io.File is vulnerable to null byte
   injection).
b) 一个 web 应用必须部署 Tomcat 7.0.0 至 7.0.39 版本
c) web 应用必须使用 Servlet 3.0 File Upload 特性
d) web 应用部署的文件位置必须可写。Tomcat 安全文档建议不要这样做！
e) 一个自定义的 JMX 连接器监听器 (e.g. the JmxRemoteListener
   that is not enabled by default) must be configured and be able to
   load classes from Tomcat's common class loader (i.e. the custom JMX
   listener must be placed in Tomcat's lib directory)
f) 自定义 JMX 监听必须绑定非本地主机，这样才能进行远程攻击（默认绑定本地主机）。
如果自定义 JMX 监听器绑定本地主机，那也可能遭遇本地攻击。

注意，条件 b) 和 c) 可以被以下条件代替：
g) web 应用部署使用 Apache Commons File Upload
   1.2.1 及以下版本
这样的相似漏洞可能存在所有的 Servlet 容器，不只是 Apache Tomcat。

迁移：
- - Upgrade to Oracle Java 1.7.0 update 40 or later (or any other Java
  implementation where java.io.File is not vulnerable to null byte
  injection).
- - Use OS file permissions to prevent the process Tomcat is running as
  from writing to any location within a deployed application.
- - Disable any custom JMX listeners
- - Upgrade to Apache Tomcat 7.0.40 or later

相关链接
[1] http://tomcat.apache.org/security-7.html