国产欧美日韩第一页|日本一二三不卡视频|在线精品小视频,亚洲第一免费播放区,metcn人体亚洲一区,亚洲精品午夜视频

新聞公告關(guān)注獲取即時(shí)動(dòng)態(tài)
< 返回

【威脅通告】Apache Tomcat 文件包含漏洞(CVE-2020-1938)

2020-02-20 19:28:39 來(lái)源:藍隊云 閱讀量:5218

2月20日,國家信息安全漏洞共享平臺(CNVD)發(fā)布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導致,攻擊者利用該漏洞可通過(guò)構造特定參數,讀取服務(wù)器webapp下的任意文件。若目標服務(wù)器同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現遠程代碼執行。目前,廠(chǎng)商已發(fā)布新版本完成漏洞修復。




一.  漏洞概述

2月20日,國家信息安全漏洞共享平臺(CNVD)發(fā)布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導致,攻擊者利用該漏洞可通過(guò)構造特定參數,讀取服務(wù)器webapp下的任意文件。若目標服務(wù)器同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現遠程代碼執行。目前,廠(chǎng)商已發(fā)布新版本完成漏洞修復。

Tomcat是Apache軟件基金會(huì )中的一個(gè)重要項目,性能穩定且免費,是目前較為流行的Web應用服務(wù)器。由于Tomcat應用范圍較廣,因此本次通告的漏洞影響范圍較大,請相關(guān)用戶(hù)及時(shí)采取防護措施修復此漏洞。

參考鏈接:

http://www.tjdsmy.cn/webinfo/show/5415

二、影響范圍

受影響版本

  • Apache Tomcat 6

  • Apache Tomcat 7 < 7.0.100

  • Apache Tomcat 8 < 8.5.51

  • Apache Tomcat 9 < 9.0.31

不受影響版本

  • Apache Tomcat = 7.0.100

  • Apache Tomcat = 8.5.51

  • Apache Tomcat = 9.0.31

三、漏洞檢測

3.1版本檢測

通常在A(yíng)pache Tomcat官網(wǎng)下載的安裝包名稱(chēng)中會(huì )包含有當前Tomcat的版本號,用戶(hù)可通過(guò)查看解壓后的文件夾名稱(chēng)來(lái)確定當前的版本。



如果解壓后的Tomcat目錄名稱(chēng)被修改過(guò),或者通過(guò)Windows Service Installer方式安裝,可使用軟件自帶的version模塊來(lái)獲取當前的版本。進(jìn)入Tomcat安裝目錄的bin目錄,輸入命令version.bat后,可查看當前的軟件版本號。



若當前版本在受影響范圍內,則可能存在安全風(fēng)險。

四、漏洞防護

4.1官方升級

目前官方已在最新版本中修復了該漏洞,請受影響的用戶(hù)盡快升級版本進(jìn)行防護,官方下載鏈接:


版本號下載地址
Apache Tomcat 7.0.100http://www.tjdsmy.cn/download-70.cgi  
Apache Tomcat 8.5.51http://www.tjdsmy.cn/download-80.cgi  
Apache Tomcat 9.0.31http://www.tjdsmy.cn/download-90.cgi  


4.2其他防護措施

如果相關(guān)用戶(hù)暫時(shí)無(wú)法進(jìn)行版本升級,可根據自身情況采用下列防護措施。

一:若不需要使用Tomcat AJP協(xié)議,可直接關(guān)閉AJP Connector,或將其監聽(tīng)地址改為僅監聽(tīng)本機localhost。

具體操作:

(1)編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 為 Tomcat 的工作目錄):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />



(2)將此行注釋掉(也可刪掉該行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新啟動(dòng)Tomcat,規則方可生效。

二:若需使用Tomcat AJP協(xié)議,可根據使用版本配置協(xié)議屬性設置認證憑證。

使用Tomcat 7和Tomcat 9的用戶(hù)可為AJP Connector配置secret來(lái)設置AJP協(xié)議的認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用戶(hù)可為AJP Connector配置requiredSecret來(lái)設置AJP協(xié)議的認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />