近日,國家信息安全漏洞共享平臺發(fā)布了Apache Tomcat上的文件包含漏洞。通知中表示攻擊者可利用該漏洞讀取或包含Tomcat上所有webapp目錄下的任意文件,如:webapp配置文件或源代碼等。而且該漏洞是于2020年1月6日報送,距今已有一個半月的時間。

2020年2月20日下午17:30,CNVD發(fā)布漏洞公告:https://www.cnvd.org.cn/webinfo/show/5415

影響版本

Apache?Tomcat?6
Apache?Tomcat?7?<?7.0.100
Apache?Tomcat?8?<?8.5.51
Apache?Tomcat?9?<?9.0.31

Tomcat是Apache軟件基金會的Jakarta項目中的一個核心項目,由Apache、Sun和其他一些公司及個人共同開發(fā)而成,目前在全球范圍內(nèi)被廣泛利用。

根據(jù)目前FOFA系統(tǒng)最新數(shù)據(jù)(一年內(nèi)數(shù)據(jù)),顯示全球范圍內(nèi)共有2812352個Tomcat服務對外開放。中國使用數(shù)量最多,共有1015990個,美國第二,共有645451個,巴西第三,共有108635個,德國第四,共有99789個,韓國第五,共有91441個。

中國大陸地區(qū)浙江省使用數(shù)量最多,共有371333個,北京市第二,共有169212個,廣東省第三,共有79255個,上海市第四,共有45408個,江蘇省第五,共有41842個。

根據(jù)Tomcat官網(wǎng)的數(shù)據(jù),版本更新時間在2020年之后的共有Tomcat 7.0.100(2020-02-14),Tomcat 9.0.31(2020-02-11),Tomcat 8.5.51(2020-02-11)。

在2020年2月21日晚,外網(wǎng)上陸續(xù)有研究人員公開了PoC檢測代碼:
1.https://github.com/threedr3am/learnjavabug/blob/1f601a919605704e8e67b89213f233b82fa537c7/tomcat/ajp-bug/src/main/java/com/threedr3am/bug/tomcat/ajp/FileRead.java
2.https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/blob/8bd38f4cf22331ecf4e48096a78c5931509c26be/CNVD-2020-10487-Tomcat-Ajp-lfi.py

來自：白帽匯

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/