一、漏洞描述

Apache Tomcat是一个开源的Java Servlet容器和Web服务器，支持运行Java Servlet、JavaServer Pages(JSP)和其他基于Java的Web应用程序，广泛用于开发和部署企业级Web应用。

近日发现，Apache发布安全公告，修复了Apache Tomcat路径遍历漏洞，此漏洞为修复CVE-2016-5388时引入的缺陷，由于在URL解码之前对重写的URL进行了规范化处理，经过身份验证的攻击者可通过构造特制的URL绕过对/WEB-INF/和/META-INF/等受保护目录的安全限制。当目标服务器同时启用了PUT方法时，攻击者可上传恶意文件，从而实现远程代码执行。

二、影响范围

漏洞影响的产品和版本包括：

11.0.0-M1 <= Apache Tomcat <= 11.0.10

10.1.0-M1 <= Apache Tomcat <= 10.1.44

9.0.0.M1 <= Apache Tomcat <= 9.0.108

8.5.6 <= Apache Tomcat <= 8.5.100(EOL)

注：官方已停止维护的早期版本也可能受影响。

三、安全建议

（一）官方升级

目前官方已发布新版本修复该漏洞，请受影响的用户尽快升级进行防护。

下载链接：https://tomcat.apache.org/

（二）临时防护措施

若相关用户暂时无法进行升级操作，也可使用下列措施进行临时缓解：

1.在不影响业务的前提下，相关用户可将conf/web.xml文件中的readonly参数设置为true或进行注释。

2.禁用PUT方法并重启Tomcat服务使配置生效。

3.检查URL重写规则，限制对/WEB-INF/和/META-INF/等受保护目录的访问。