1、Tomcat本地提权漏洞预警(CVE-2016-1240)
Tomcat是个运行在Apache上的应用服务器,支持运行Servlet/JSP应用程序的容器——可以将Tomcat看作是Apache的扩展,实际上Tomcat也可以独立于Apache运行。
漏洞编号:
CVE-2016-1240
影响范围:
Tomcat 8 <= 8.0.36-2
Tomcat 7 <= 7.0.70-2
Tomcat 6 <= 6.0.45+dfsg-1~deb8u1
受影响的系统包括Debian、Ubuntu,其他使用相应deb包的系统也可能受到影响。
漏洞概述:
Debian系统的Linux上管理员通常利用apt-get进行包管理,CVE-2016-1240这一漏洞其问题出在Tomcat的默认的启动脚本中:/etc/init.d/tomcat* 利用该脚本,可导致攻击者通过低权限的Tomcat用户获得系统root权限!
# Run the catalina.sh script as a daemon
set +e
touch “$CATALINA_PID” “$CATALINA_BASE”/logs/catalina.out
chown $TOMCAT7_USER “$CATALINA_PID””$CATALINA_BASE”/logs/catalina.out
本地攻击者,作为Tomcat用户(比如说,通过web应用的漏洞)若将catalina.out修改为指向任意系统文件的链接,当服务器重启或服务重启时Tomcat init脚本(root权限运行)会修改catalina.out链接任意文件的权限为Tomcat用户,利用这点执行任意脚本。公布的PoC利用在etc下创建ld.so.preload文件来加载攻击者的PoC并执行任意命令。
修复方案:
Debian安全团队已经修复了受影响的包;更新至系统提供的最新版Tomcat包即可。
临时解决方案:
可以在启动脚本中暂时删除权限修改的操作
chown $TOMCAT7_USER”$CATALINA_PID”
“$CATALINA_BASE”/logs/catalina.out
将这个语句注释掉, 在需要时手工进行权限的修改。
2、 “2016首届国际反病毒大会”在津召开
央广网天津 9 月 25 日消息 为期两天的“2016 首届国际反病毒大会”日前在天津召开。公安部副部长、国家网信办兼职副主任陈智敏出席,天津市副市长、市公安局局长赵飞出席并致辞。此次会议以“安全、共维、创新、共享”为主题,结合当前信息网络安全和反病毒领域的热点、难点,针对当前突出的网络安全问题和产业发展新趋势,邀请中国工程院、亚洲反病毒研究者协会、国际刑警组织数字犯罪中心、香港警务处、国际反恶意软件测试标准联盟等单位的国内外知名院士、专家、学者、负责人作技术报告。同时邀请政府主管部门领导、国内外信息安全知名专家学者、信息安全企业负责人,重点围绕反病毒技术、云安全、移动 APP 治理、APT 攻击、网络威胁治理等信息网络安全前沿技术和热点问题进行研讨
/
网络安全