[[119844]]

開源WEB容器–Apache+Tomcat老版本很容易受到遠程代碼執行的攻擊。Mark Thomas，一位長期致力于Apache+Tomcat的工作者稱“在某種情況下，用戶可以上傳惡意JSP文件到Tomcat服務器上運行，然后執行命令。JSP的后門可以用來在服務器上任意執行命令。”

Thomas今日發出警告稱，Tomcat版本7.0.0和7.3.9在發布補丁之前是脆弱的。利用漏洞(CVE-2014-4444)可執行遠程代碼執行攻擊。上周VMware安全工程部，通信與響應小組(vSECR)的Pierre Ernst挖掘出了這個漏洞。

但官方同時也表示，這個漏洞談起來容易，但實施攻擊有難度。攻擊者必須達成的一定條件——其中包括：Oracle Java 1.7.0 update 25，或者Tomcat中的更早的脆弱版本。值得一提的是，該系統的文件路徑必須保證可寫，而JMX環境的自定義偵聽器必須配置且綁定到本地localhost以外的地址。正因為這些限制，Tomcat的安全團隊把該漏洞從嚴重降級為重要，嚴重程度往往與遠程執行漏洞相關。

Apache團隊鼓勵用戶升級到Tomcat7.0.40，或者將他們的Oracle Java升級到1.7.0來減輕危害，要不然就只能等到以后再修補它了。