聲明：該文章由作者（kstest）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請(qǐng)附上出處(0XUCN)及本頁(yè)鏈接。。

2020年2月20日,阿里云應(yīng)急響應(yīng)中心監(jiān)測(cè)到CNVD披露 Apache Tomcat 服務(wù)器存在文件讀取與包含高危漏洞。

漏洞描述

Apache Tomcat是由Apache軟件基金會(huì)屬下Jakarta項(xiàng)目開發(fā)的Servlet容器。默認(rèn)情況下,Apache Tomcat會(huì)開啟AJP連接器,方便與其他Web服務(wù)器通過(guò)AJP協(xié)議進(jìn)行交互。但Apache Tomcat在AJP協(xié)議的實(shí)現(xiàn)上存在漏洞,導(dǎo)致攻擊者可以通過(guò)發(fā)送惡意的AJP請(qǐng)求,可以讀取或者包含Web應(yīng)用根目錄下的任意文件,如果存在文件上傳功能,將可以導(dǎo)致任意代碼執(zhí)行。漏洞利用AJP服務(wù)端口實(shí)現(xiàn)攻擊,未開啟AJP服務(wù)對(duì)外不受漏洞影響(tomcat默認(rèn)將AJP服務(wù)開啟并綁定至0.0.0.0)。阿里云應(yīng)急響應(yīng)中心提醒 Apache Tomcat用戶盡快排查AJP端口對(duì)外情況并采取安全措施阻止漏洞攻擊。

影響版本

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

安全版本

Apache Tomcat 7.0.100

Apache Tomcat 8.5.51

Apache Tomcat 9.0.31

安全建議

以下任意一種方法均可實(shí)現(xiàn)漏洞修復(fù)

1、升級(jí)至安全版本

2、關(guān)閉AJP連接器,修改Tomcat的service.xml,注釋掉 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />?；蛘呓筎omcat 的 AJP端口對(duì)公網(wǎng)開放。

3、針對(duì)阿里云用戶,可使用安全組臨時(shí)禁止AJP服務(wù)端口(常見(jiàn)為8009端口)對(duì)外,阻止漏洞攻擊,類似如下:

相關(guān)鏈接

http://tomcat.apache.org/security.html

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/