2020年2月20日,阿里云應(yīng)急響應(yīng)中心監(jiān)測到CNVD披露 Apache Tomcat 服務(wù)器存在文件讀取與包含高危漏洞。

漏洞描述

Apache Tomcat是由Apache軟件基金會屬下Jakarta項目開發(fā)的Servlet容器。默認情況下,Apache Tomcat會開啟AJP連接器,方便與其他Web服務(wù)器通過AJP協(xié)議進行交互。但Apache Tomcat在AJP協(xié)議的實現(xiàn)上存在漏洞,導(dǎo)致攻擊者可以通過發(fā)送惡意的AJP請求,可以讀取或者包含Web應(yīng)用根目錄下的任意文件,如果存在文件上傳功能,將可以導(dǎo)致任意代碼執(zhí)行。漏洞利用AJP服務(wù)端口實現(xiàn)攻擊,未開啟AJP服務(wù)對外不受漏洞影響(tomcat默認將AJP服務(wù)開啟并綁定至0.0.0.0)。阿里云應(yīng)急響應(yīng)中心提醒 Apache Tomcat用戶盡快排查AJP端口對外情況并采取安全措施阻止漏洞攻擊。

影響版本

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

安全版本

Apache Tomcat 7.0.100

Apache Tomcat 8.5.51

Apache Tomcat 9.0.31

安全建議

以下任意一種方法均可實現(xiàn)漏洞修復(fù)

1、升級至安全版本

2、關(guān)閉AJP連接器,修改Tomcat的service.xml,注釋掉 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />?；蛘呓筎omcat 的 AJP端口對公網(wǎng)開放。

3、針對阿里云用戶,可使用安全組臨時禁止AJP服務(wù)端口(常見為8009端口)對外,阻止漏洞攻擊,類似如下:

相關(guān)鏈接

http://tomcat.apache.org/security.html

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/