信息来源：阿里云

        2018年2月23日，Apache发布安全公告，公告显示Apache Tomcat 7、8、9存在安全绕过漏洞，CVE编号CVE-2018-1305、CVE-2018-1304，攻击者可以利用这个问题，绕过某些安全限制来执行未经授权的操作。 
由于Apache Tomcat 使用较广泛，建议用户关注并开展自查工作。 
 
具体详情如下:  
漏洞编号: 
        CVE-2018-1305 
        CVE-2018-1304 
漏洞名称: 
        CVE-2018-1305/CVE-2018-1304:Apache Tomcat安全机制绕过漏洞 
官方评级: 
        中危 
漏洞描述: 
        Apache Tomcat servlet 注释定义的安全约束，只在servlet加载后才应用一次。该漏洞是由于由于以这种方式定义的安全约束，应用于URL模式及该点下任何URL，很可能取决于servlet加载的次序，对于某些不应用的安全约束，恶意攻击者利用该漏洞可能会将资源暴露给未经授权访问用户，导致敏感信息泄露。 

漏洞利用条件和方式: 
        通过PoC直接远程利用。 
PoC状态: 
        未公开 
漏洞影响范围: 
        以下版本受到影响： 
        9版本（9.0.0.M1到9.0.4）
        8版本（8.5.0到8.5.27， 8.0.0.RC1到8.0.49）
        7版本（7.0.0到7.0.84）
安全版本: 
        大于或等于Apache Tomcat 9.0.5版本
        大于或等于Apache Tomcat 8.5.28版本
        大于或等于Apache Tomcat 8.0.50版本
        大于或等于Apache Tomcat 7.0.85版本
漏洞检测: 
        开发人员检查是否使用了受影响版本范围内的Apache Tomcat版本。 
漏洞修复建议(或缓解措施): 
目前官方已提供安全更新版本下载： 
        9版本（9.0.5以后版本）：
        https://tomcat.apache.org/download-70.cgi
        8版本（8.5.28以后版本）:
        https://tomcat.apache.org/download-80.cgi
        7版本（7.0.85以后版本）:
        https://tomcat.apache.org/download-90.cgi
 
提示：建议您在修复漏洞前做好测试工作。