Apache Tomcat安全限制绕过漏洞 CVE-2017-5664

释放双眼，带上耳机，听听看~！

0x01 概述

Apache Tomcat是一个开源的Java Servlet容器和JavaServer Pages（JSP）容器。它是由Apache软件基金会开发和维护的，是一个轻量级、快速、可扩展的Web服务器，用于执行Java Servlet和JavaServer Pages技术。

Tomcat是一个独立的服务器，它可以用作Java应用程序的Web服务器，也可以作为Servlet容器集成到其他Web服务器（例如Apache HTTP服务器）中。它可以处理HTTP请求，并将它们传递给相应的Servlet或JSP进行处理，然后将结果返回给客户端。

Tomcat提供了许多功能，包括连接池、会话管理、安全性、Web应用程序部署、负载均衡等。它是Java企业级Web应用程序的常用部署环境，广泛用于开发和部署Java Web应用程序和服务。

笔者通过对数百个真实项目引入组件的分析选出了Tomcat组件的常见漏洞进行分析。本次分析的是CVE-2017-5648。该漏洞是Tomcat-catalina组件处理访问错误资源请求时，如404，500，此时若服务器存在自定义的错误页面则会将请求交给DefaultServlet处理，从而可能导致错误页面被重写。

0x02 组件使用场景

Tomcat-catalina组件负责处理HTTP请求、响应、会话管理、Servlet容器、连接池、线程池等核心功能，是Tomcat服务器的核心引擎。

0x03 漏洞信息

3.1 漏洞简介

漏洞名称：安全限制绕过漏洞

漏洞编号：CVE-2017-5664

漏洞类型：CWE-755 异常情况处理不当

CVSS评分：CVSS v3.1：7.5

漏洞危害等级：高危

3.2 漏洞概述

该漏洞是Tomcat-catalina组件处理访问错误资源请求时，如404，500，此时若服务器存在自定义的错误页面则会将请求交给DefaultServlet处理，从而可能导致错误页面被重写。

3.3 漏洞利用条件

DefaultServlet的readOnly属性为false（默认为true）。并且当存在自定义的静态文件形式的错误页面时，可以覆盖错误页面。

3.4 漏洞利用条件

Apache Tomcat 9.0.0.M1 ~ 9.0.0.M20

Apache Tomcat 8.5.0 ~ 8.5.14

Apache Tomcat 8.0.0.RC1 ~ 8.0.43

Apache Tomcat 7.0.0 ~ 7.0.77

3.5 漏洞分析

Tomcat的核心功能有两个，其中连接器负责监听网络端口，接收和响应网络请求，并将收到的网络字节流转换成 Tomcat Request 再转成标准的 ServletRequest 给容器，同时将容器传来的 ServletResponse 转成 Tomcat Response 再转成网络字节流。而容器有一个引擎可以管理多个虚拟主机。每个虚拟主机可以管理多个 Web 应用。每个 Web 应用会有多个 Servlet 包装器。Engine、Host、Context 和 Wrapper，四个容器之间属于父子关系。