Apache Tomcat SSI printenv指令XSS漏洞分析(CVE-2019-0221)<\/h1>

漏洞概述<\/h2>
Apache Tomcat在其SSI(Server Side Includes)实现中存在跨站脚本(XSS)漏洞，当使用"printenv"指令时未能正确转义输出，导致攻击者可注入恶意脚本。该漏洞被分配CVE编号CVE-2019-0221，风险等级被供应商评为"低风险"。<\/p>

受影响版本<\/h2>

Tomcat 9: 9.0.0.M1至9.0.17(9.0.18不受影响)<\/li>
Tomcat 8: 8.5.0至8.5.39<\/li>

Tomcat 7: 7.0.0至7.0.93<\/li> <\/ul>

修复版本<\/h2>

Tomcat 9: 9.0.19及以上<\/li>
Tomcat 8: 8.5.40及以上<\/li>

Tomcat 7: 7.0.94及以上<\/li> <\/ul>

漏洞详情<\/h2>

SSI功能简介<\/h3>

服务器端包含(SSI)是一种简单的脚本语言，用于实现以下功能：<\/p>

包含文件<\/li>
回显变量的值<\/li>

显示文件的基本信息<\/li> <\/ul>

SSI特定的环境变量可以是：<\/p>

用户设置的变量<\/li>

包含传入HTTP请求信息的变量<\/li> <\/ul>

漏洞根源<\/h3>

Tomcat提供了两个SSI指令用于输出变量：<\/p>

echo<\/code>指令：输出单个变量的值<\/li>

printenv<\/code>指令：输出所有变量的值<\/li>
<\/ol>
关键问题<\/strong>：<\/p>

echo<\/code>指令正确转义了XSS值<\/li>
printenv<\/code>指令未对输出进行正确转义<\/li>
<\/ul>
利用前提条件<\/h3>
要成功利用此漏洞，必须满足以下条件：<\/p>

在Apache Tomcat中启用SSI支持(全局或特定Web应用程序)，默认情况下不启用<\/li>
Web应用程序中存在包含"printenv" SSI指令的文件(通常为.shtml文件)<\/li>
攻击者能够访问该文件<\/li>
<\/ol>
漏洞复现步骤<\/h2>
环境准备<\/h3>

在Windows中安装Java运行时环境(JRE)<\/li>
下载并解压存在漏洞的Tomcat版本<\/li>
<\/ol>
配置修改<\/h3>

修改conf\/context.xml<\/code>文件，在第19行添加上下文权限：<\/li>
<\/ol>
<Context<\/span> privileged=<\/span>"true"<\/span>><\/span>
<\/span><\/span><\/code><\/pre>
修改conf\/web.xml<\/code>以启用SSI servlet(可全局或针对特定应用)<\/li>
<\/ol>
创建测试文件<\/h3>
在webapps\/ROOT\/ssi\/printenv.shtml<\/code>中放置以下内容：<\/p>
<html<\/span>><head<\/span>><title<\/span>><\/title<\/span>><body<\/span>>
<\/span><\/span>Echo test: <!--#echo var="QUERY_STRING_UNESCAPED" --><\/span><br<\/span>\/><br<\/span>\/>
<\/span><\/span>Printenv test: <!--#printenv --><\/span>
<\/span><\/span><\/body<\/span>><\/html<\/span>>
<\/span><\/span><\/code><\/pre>启动Tomcat<\/h3>
cd bin
<\/span><\/span>catalina run
<\/span><\/span><\/code><\/pre>触发XSS<\/h3>
使用以下URL触发XSS(可能需要使用Firefox)：<\/p>
http:\/\/localhost:8080\/ssi\/printenv.shtml?%3Cbr\/%3E%3Cbr\/%3E%3Ch1%3EXSS%3C\/h1%3E%3Cbr\/%3E%3Cbr\/%3E
<\/code><\/pre>
或：<\/p>
http:\/\/localhost:8080\/printenv.shtml?%3Cscript%3Ealert(%27xss%27)%3C\/script%3E
<\/code><\/pre>
观察点<\/strong>：<\/p>

echo<\/code>指令的输出会被正确转义<\/li>
printenv<\/code>指令的输出不会被转义，导致XSS执行<\/li>
<\/ul>
修复方案<\/h2>
修复方法是在printenv<\/code>指令的输出中添加编码，如提交的补丁所示。<\/p>
供应商回应<\/h2>
供应商认为此漏洞风险较低的原因：<\/p>

默认情况下SSI是禁用的<\/li>
使用SSI的情况较少<\/li>
printenv<\/code>命令也不常用<\/li>
<\/ol>
安全建议<\/h2>


升级到不受影响的Tomcat版本：<\/p>

Tomcat 9: 9.0.19+<\/li>
Tomcat 8: 8.5.40+<\/li>
Tomcat 7: 7.0.94+<\/li>
<\/ul>
<\/li>

如果无法立即升级，可考虑：<\/p>

禁用SSI功能<\/li>
审查并移除所有使用printenv<\/code>指令的SSI文件<\/li>
<\/ul>
<\/li>
<\/ol>
参考链接<\/h2>

原始漏洞报告<\/a><\/li>
CVE-ID: CVE-2019-0221<\/li>
Apache SSI文档<\/li>
<\/ul>

Apache Tomcat SSI printenv指令XSS漏洞分析(CVE-2019-0221)<\/h1>

漏洞概述<\/h2> Apache Tomcat在其SSI(Server Side Includes)实现中存在跨站脚本(XSS)漏洞，当使用"printenv"指令时未能正确转义输出，导致攻击者可注入恶意脚本。该漏洞被分配CVE编号CVE-2019-0221，风险等级被供应商评为"低风险"。<\/p>

漏洞详情<\/h2>

漏洞复现步骤<\/h2>

修复方案<\/h2> 修复方法是在printenv<\/code>指令的输出中添加编码，如提交的补丁所示。<\/p>

参考链接<\/h2> 原始漏洞报告<\/a><\/li> CVE-ID: CVE-2019-0221<\/li> Apache SSI文档<\/li> <\/ul>

漏洞概述<\/h2>
Apache Tomcat在其SSI(Server Side Includes)实现中存在跨站脚本(XSS)漏洞，当使用"printenv"指令时未能正确转义输出，导致攻击者可注入恶意脚本。该漏洞被分配CVE编号CVE-2019-0221，风险等级被供应商评为"低风险"。<\/p>

修复方案<\/h2>
修复方法是在`printenv<\/code>指令的输出中添加编码，如提交的补丁所示。<\/p>`

参考链接<\/h2>

原始漏洞报告<\/a><\/li>
CVE-ID: CVE-2019-0221<\/li>
Apache SSI文档<\/li> <\/ul>