Tomcat PUT方法任意写文件漏洞(CVE-2017-12615)
warning:
这篇文章距离上次修改已过423天,其中的内容可能已经有所变动。
Tomcat PUT方法任意文件写入漏洞(CVE-2017-12615)是由于Tomcat服务器中的WebDAV模块配置不当导致的。WebDAV(Web-based Distributed Authoring and Versioning)是一个在HTTP上实现的通用分布式创作和版本控制系统。
解决方法:
禁用WebDAV模块:
- 找到Tomcat的安装目录下的
conf文件夹,编辑web.xml文件。 - 注释掉或者删除与
org.apache.catalina.servlets.WebdavServlet相关的配置。 - 重启Tomcat服务。
- 找到Tomcat的安装目录下的
通过配置Context的readOnly属性为true来禁止PUT方法:
- 找到Tomcat的安装目录下的
conf文件夹,编辑context.xml文件。 - 添加
<Context readOnly="true"><Context>来禁止PUT方法。 - 重启Tomcat服务。
- 找到Tomcat的安装目录下的
使用Tomcat的安全补丁:
- 升级到受影响组件的安全修复版本。
使用防火墙规则来阻止非授权的HTTP方法:
- 配置防火墙规则,仅允许使用GET和POST方法访问Web应用程序。
使用Web应用防火墙(WAF):
- 部署WAF来保护Tomcat服务器免受此类攻击。
请根据实际环境选择合适的解决方法,并在执行任何操作前进行备份。
评论已关闭