CVE-2017-21615, CVE-2017-21616
취약점 요약
CVE-2017-12615
- 영향: 하. 기본 설정 상 PUT 메소드를 허용하지 않으며, 보안 표준을 어기는 사항이므로 발견 시 개선 프로세스 진행.
- 위협: JSP 업로드.
- 조건: Tomcat Version 7.0.0-7.0.79에서 PUT Method 허용
- 상세: PUT 메소드로 서버에 존재하지 않는 “test.jsp”파일 요청을 보낼 경우, 서블릿 컨테이너에서 “test.jsp” 내 정의된 PUT 메소드를 수행하려 하므로 404 Error를 반환한다. 그러나 “/”, “%20”, “::DATA”와 같은 특수문자를 제거하여 실제 서버에 JSP 파일이 저장된다.
- 확인 방법:
grep -r 'readonly' [톰캣 디렉터리]/conf/web.xml
취약 버전에서 readonly를 false로 정의한 경우 취약
테스트를 위한 web.xml 설정
PUT 메소드가 허용된 톰캣 서버에 curl -X PUT http://TEST.com/test.jsp/ -d "test"을 전송할 경우, jsp 혹은 jspx 요청이 아니므로 defaultservlet으로 PUT 메소드를 처리하게 된다. 그런데 java.io.Win32FileSystem의 파일 생성 과정에서 수행하는 파일 명 표준화 시 불필요하게 인식한 특수문자를 제거(‘/’, ‘%20, ‘::$DATA’)함으로써 결과적으로 JSP 파일이 업로드된다.
<init-param>
<param-name>readonly</param-name>
<param-value>false</param-value>
</init-param>CVE-2017-12616
- 영향: 중. 이미지, CSS 파일, JS 파일이 저장된 외부 디렉터리를 연결하는 설정으로 소스 디렉터리(JSP) 이와 같은 방법으로 연결했을 가능성이 낮다(확인된 톰캣 서버 중 VirtualDirContext를 설정한 서버는 없었음).
- 위협: JSP 소스코드 노출
- 조건: Tomcat Version 7.0.0-7.0.80 JSP 파일이 존재하는 외부 디렉터리를 VirtualDirContext로 연결하여 운영
- 상세: VirtualDirContext로 연결한 외부 디렉터리의 JSP 파일 호출 시 뒤에 “%20”, “::$DATA”와 같은 특수문자를 붙여 호출하면 정적 파일로 인식하여 DefualtSevelt에서 처리하는 데, 처리 과정에서 삽입한 특수문자를 제거하여 JSP 파일을 불러와 소스코드를 반환하게 된다.
- 확인 방법:
grep -r 'VirtualDirContext' [톰캣 디렉터리]/conf/server.xml
취약 버전에서 VirtualDirContext를 사용하여 JSP 디렉터리를 연결한 경우 취약
테스트를 위한 server.xml 설정
server.xml에 VirtualDirContext로 원격 디렉터리 연결 후 해당 디렉터리에 JSP 파일을 넣어 test.jsp%20, test.jsp::$DATA와 같은 방법으로 호출해본다.
<Context path='/site' docBase="C:\" reloadable="true">
<Resources className="org.apache.naming.resources.VirtualDirContext" extraResourcePaths="/img=C:\img" />
<JarScanner scanAllDirectories="true" />
</Context>참고 URL
[Web安全]CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
Tomcat漏洞CVE-2017-12615与CVE-2017-12616分析
Tomcat 远程代码执行漏洞分析(CVE-2017-12615)及补丁 Bypass
https://xianzhi.aliyun.com/forum/read/2136.html
Tomcat 信息泄露漏洞(CVE-2017-12616 )分析
Tomcat CVE漏洞CVE-2017-12615和12616分析