歡迎您光臨本站 註冊首頁
開源互助社區>資訊>綜合資訊

關於 Apache Tomcat 存在文件包含漏洞的安全公告

←手機掃碼閱讀     admin @ 2020-02-22 , reply:0

國家信息安全漏洞共享平台(CNVD)近日發布了一份關於 Apache Tomcat 存在文件包含漏洞的安全公告,具體信息如下:

安全公告編號:CNTA-2020-0004

2020 年 1 月 6 日,國家信息安全漏洞共享平台(CNVD)收錄了由北京長亭科技有限公司發現並報送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,對應 CVE-2020-1938)。攻擊者利用該漏洞,可在未授權的情況下遠程讀取特定目錄下的任意文件。目前,漏洞細節尚未公開,廠商已發布新版本完成漏洞修復。

一、漏洞情況分析

Tomcat 是 Apache 軟體基金會 Jakarta 項目中的一個核心項目,作為目前比較流行的 Web 應用伺服器,深受 Java 愛好者的喜愛,並得到了部分軟體開發商的認可。Tomcat 伺服器是一個免費的開放源代碼的 Web 應用伺服器,被普遍使用在輕量級 Web 應用服務的構架中。

2020 年 1 月 6 日,國家信息安全漏洞共享平台(CNVD)收錄了由北京長亭科技有限公司發現並報送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 協議由於存在實現缺陷導致相關參數可控,攻擊者利用該漏洞可通過構造特定參數,讀取伺服器 webapp 下的任意文件。若伺服器端同時存在文件上傳功能,攻擊者可進一步實現遠程代碼的執行。

CNVD 對該漏洞的綜合評級為「高危」。

二、漏洞影響範圍

漏洞影響的產品版本包括:

  • Tomcat 6
  • Tomcat 7
  • Tomcat 8
  • Tomcat 9

CNVD 平台對 Apache Tomcat AJP 協議在我國境內的分佈情況進行統計,結果顯示我國境內的 IP 數量約為 55.5 萬,通過技術檢測發現我國境內共有 43197 台伺服器受此漏洞影響,影響比例約為 7.8%。

三、漏洞處置建議

目前,Apache 官方已發布 9.0.31、8.5.51 及 7.0.100 版本對此漏洞進行修復,CNVD 建議用戶儘快升級新版本或採取臨時緩解措施:

1.   如未使用 Tomcat AJP 協議:

如未使用 Tomcat AJP 協議,可以直接將 Tomcat 升級到 9.0.31、8.5.51 或 7.0.100 版本進行漏洞修復。

如無法立即進行版本更新、或者是更老版本的用戶,建議直接關閉 AJPConnector,或將其監聽地址改為僅監聽本機 localhost。

具體操作:

(1)編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 為 Tomcat 的工作目錄):


<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

(2)將此行註釋掉(也可刪掉該行):


<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新啟動,規則方可生效。

2.   如果使用了 Tomcat AJP 協議:

建議將 Tomcat 立即升級到 9.0.31、8.5.51 或 7.0.100 版本進行修復,同時為 AJP Connector 配置 secret 來設置 AJP 協議的認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值):


<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

如無法立即進行版本更新、或者是更老版本的用戶,建議為 AJPConnector 配置 requiredSecret 來設置 AJP 協議認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值):


<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

 

附:參考鏈接

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

[admin ]

來源:OsChina
連結:https://www.oschina.net/news/113546/apache-tomcat-vulnerability
 關於 Apache Tomcat 存在文件包含漏洞的安全公告已經有167次圍觀

http://coctec.com/news/soft/show-post-225599.html

熱門文章

  1. linux下的10款最佳遊戲
  2. 最棒的10款 MySQL GUI 工具
  3. Adobe打擊盜版「高舉輕放」 頻發律師函不深究
  4. XFS:大數據環境下Linux文件系統的未來?
  5. Linux下3款股票軟體
  6. Linux系統下10大開源POS系統
  7. 新鮮點評:八個最好的輕量級Linux發行版
  8. 曝光SAP在華真相:天價收費與用戶之災
  9. Bootstrap 3.2.0 發布,Web 前端 UI 框架
  10. UEditor 提供 word 文檔轉碼功能

最新文章

  1. UWeb v1.4.0 專業版釋出,新增 CMS 內容管理模組
  2. Facebook 以最高級別身份加入 Linux 基金會及其董事會
  3. 文件基金會 2019 年度報告
  4. RXThinkCMF_TP6 v2.4.0 旗艦版釋出,新增字典元件
  5. Visual Studio Code 1.48 釋出
  6. comNG 串列埠助手 V1.1.0 釋出,第一個全平臺穩定版本
  7. 魯班 H5 1.10.2 釋出,新增地圖元件
  8. Mozilla 續簽 Firefox 與 Google 的搜尋交易
  9. Wine 5.15 釋出,Windows 應用的相容層
  10. Wine 開始實驗性支援 macOS ARM64