2月20日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)發(fā)布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導(dǎo)致,攻擊者利用該漏洞可通過構(gòu)造特定參數(shù),讀取服務(wù)器webapp下的任意文件。若目標(biāo)服務(wù)器同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前,廠商已發(fā)布新版本完成漏洞修復(fù)。

文章目錄

• 一. ?漏洞概述

• 二、影響范圍

• 三、漏洞檢測(cè)

• 3.1版本檢測(cè)

• 四、漏洞防護(hù)

• 4.1官方升級(jí)

一. ?漏洞概述

2月20日,國(guó)家信息安全漏洞共享平臺(tái)(CNVD)發(fā)布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導(dǎo)致,攻擊者利用該漏洞可通過構(gòu)造特定參數(shù),讀取服務(wù)器webapp下的任意文件。若目標(biāo)服務(wù)器同時(shí)存在文件上傳功能,攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前,廠商已發(fā)布新版本完成漏洞修復(fù)。

Tomcat是Apache軟件基金會(huì)中的一個(gè)重要項(xiàng)目,性能穩(wěn)定且免費(fèi),是目前較為流行的Web應(yīng)用服務(wù)器。由于Tomcat應(yīng)用范圍較廣,因此本次通告的漏洞影響范圍較大,請(qǐng)相關(guān)用戶及時(shí)采取防護(hù)措施修復(fù)此漏洞。

參考鏈接:

https://www.cnvd.org.cn/webinfo/show/5415

二、影響范圍

受影響版本

• Apache?Tomcat?6

• Apache?Tomcat?7?<?7.0.100

• Apache?Tomcat?8?<?8.5.51

• Apache?Tomcat?9?<?9.0.31

不受影響版本

• Apache Tomcat = 7.0.100

• Apache Tomcat = 8.5.51

• Apache Tomcat = 9.0.31

三、漏洞檢測(cè)

3.1版本檢測(cè)

通常在Apache Tomcat官網(wǎng)下載的安裝包名稱中會(huì)包含有當(dāng)前Tomcat的版本號(hào),用戶可通過查看解壓后的文件夾名稱來確定當(dāng)前的版本。

如果解壓后的Tomcat目錄名稱被修改過,或者通過Windows Service Installer方式安裝,可使用軟件自帶的version模塊來獲取當(dāng)前的版本。進(jìn)入Tomcat安裝目錄的bin目錄,輸入命令version.bat后,可查看當(dāng)前的軟件版本號(hào)。

若當(dāng)前版本在受影響范圍內(nèi),則可能存在安全風(fēng)險(xiǎn)。

四、漏洞防護(hù)

4.1官方升級(jí)

目前官方已在最新版本中修復(fù)了該漏洞,請(qǐng)受影響的用戶盡快升級(jí)版本進(jìn)行防護(hù),官方下載鏈接:

4.2其他防護(hù)措施

如果相關(guān)用戶暫時(shí)無(wú)法進(jìn)行版本升級(jí),可根據(jù)自身情況采用下列防護(hù)措施。

一:若不需要使用Tomcat AJP協(xié)議,可直接關(guān)閉AJP Connector,或?qū)⑵浔O(jiān)聽地址改為僅監(jiān)聽本機(jī)localhost。

具體操作:

(1)編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 為 Tomcat 的工作目錄):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

(2)將此行注釋掉(也可刪掉該行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新啟動(dòng)Tomcat,規(guī)則方可生效。

二:若需使用Tomcat AJP協(xié)議,可根據(jù)使用版本配置協(xié)議屬性設(shè)置認(rèn)證憑證。

使用Tomcat 7和Tomcat 9的用戶可為AJP Connector配置secret來設(shè)置AJP協(xié)議的認(rèn)證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用戶可為AJP Connector配置requiredSecret來設(shè)置AJP協(xié)議的認(rèn)證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/