2月20日,國家信息安全漏洞共享平臺(CNVD)發(fā)布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導致,攻擊者利用該漏洞可通過(guò)構造特定參數,讀取服務(wù)器webapp下的任意文件。若目標服務(wù)器同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現遠程代碼執行。目前,廠(chǎng)商已發(fā)布新版本完成漏洞修復。
2月20日,國家信息安全漏洞共享平臺(CNVD)發(fā)布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導致,攻擊者利用該漏洞可通過(guò)構造特定參數,讀取服務(wù)器webapp下的任意文件。若目標服務(wù)器同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現遠程代碼執行。目前,廠(chǎng)商已發(fā)布新版本完成漏洞修復。
Tomcat是Apache軟件基金會(huì )中的一個(gè)重要項目,性能穩定且免費,是目前較為流行的Web應用服務(wù)器。由于Tomcat應用范圍較廣,因此本次通告的漏洞影響范圍較大,請相關(guān)用戶(hù)及時(shí)采取防護措施修復此漏洞。
參考鏈接:
http://www.tjdsmy.cn/webinfo/show/5415
受影響版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
不受影響版本
Apache Tomcat = 7.0.100
Apache Tomcat = 8.5.51
Apache Tomcat = 9.0.31
通常在A(yíng)pache Tomcat官網(wǎng)下載的安裝包名稱(chēng)中會(huì )包含有當前Tomcat的版本號,用戶(hù)可通過(guò)查看解壓后的文件夾名稱(chēng)來(lái)確定當前的版本。
如果解壓后的Tomcat目錄名稱(chēng)被修改過(guò),或者通過(guò)Windows Service Installer方式安裝,可使用軟件自帶的version模塊來(lái)獲取當前的版本。進(jìn)入Tomcat安裝目錄的bin目錄,輸入命令version.bat后,可查看當前的軟件版本號。
若當前版本在受影響范圍內,則可能存在安全風(fēng)險。
目前官方已在最新版本中修復了該漏洞,請受影響的用戶(hù)盡快升級版本進(jìn)行防護,官方下載鏈接:
版本號 | 下載地址 |
Apache Tomcat 7.0.100 | http://www.tjdsmy.cn/download-70.cgi |
Apache Tomcat 8.5.51 | http://www.tjdsmy.cn/download-80.cgi |
Apache Tomcat 9.0.31 | http://www.tjdsmy.cn/download-90.cgi |
4.2其他防護措施
如果相關(guān)用戶(hù)暫時(shí)無(wú)法進(jìn)行版本升級,可根據自身情況采用下列防護措施。
一:若不需要使用Tomcat AJP協(xié)議,可直接關(guān)閉AJP Connector,或將其監聽(tīng)地址改為僅監聽(tīng)本機localhost。
具體操作:
(1)編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 為 Tomcat 的工作目錄):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
(2)將此行注釋掉(也可刪掉該行):
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
(3)保存后需重新啟動(dòng)Tomcat,規則方可生效。
二:若需使用Tomcat AJP協(xié)議,可根據使用版本配置協(xié)議屬性設置認證憑證。
使用Tomcat 7和Tomcat 9的用戶(hù)可為AJP Connector配置secret來(lái)設置AJP協(xié)議的認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
使用Tomcat 8的用戶(hù)可為AJP Connector配置requiredSecret來(lái)設置AJP協(xié)議的認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />
售前咨詢(xún)
售后咨詢(xún)
備案咨詢(xún)
二維碼
TOP