中文成人在线,99re久久资源最新地址

當(dāng)前位置：首頁(yè) > 網(wǎng)絡(luò)安全 > 正文

【威脅通知】關(guān)于Apache Tomcat 文件包含漏洞（CVE-2020-1938）威脅通告

來(lái)源/編輯: 信息化技術(shù)中心?發(fā)布日期：2020年02月27日 15:27?瀏覽次數(shù)：[]

2月20日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導(dǎo)致，攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù)，讀取服務(wù)器webapp下的任意文件。若目標(biāo)服務(wù)器同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前，廠商已發(fā)布新版本完成漏洞修復(fù)。

一. 漏洞概述

2月20日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導(dǎo)致，攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù)，讀取服務(wù)器webapp下的任意文件。若目標(biāo)服務(wù)器同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前，廠商已發(fā)布新版本完成漏洞修復(fù)。

Tomcat是Apache軟件基金會(huì)中的一個(gè)重要項(xiàng)目，性能穩(wěn)定且免費(fèi)，是目前較為流行的Web應(yīng)用服務(wù)器。由于Tomcat應(yīng)用范圍較廣，因此本次通告的漏洞影響范圍較大，請(qǐng)相關(guān)用戶及時(shí)采取防護(hù)措施修復(fù)此漏洞。

參考鏈接：

https://www.cnvd.org.cn/webinfo/show/5415

二、影響范圍

受影響版本

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

不受影響版本

Apache Tomcat = 7.0.100
Apache Tomcat = 8.5.51
Apache Tomcat = 9.0.31

三、漏洞檢測(cè)

3.1版本檢測(cè)

通常在Apache Tomcat官網(wǎng)下載的安裝包名稱中會(huì)包含有當(dāng)前Tomcat的版本號(hào)，用戶可通過(guò)查看解壓后的文件夾名稱來(lái)確定當(dāng)前的版本。

如果解壓后的Tomcat目錄名稱被修改過(guò)，或者通過(guò)Windows Service Installer方式安裝，可使用軟件自帶的version模塊來(lái)獲取當(dāng)前的版本。進(jìn)入Tomcat安裝目錄的bin目錄，輸入命令version.bat后，可查看當(dāng)前的軟件版本號(hào)。

若當(dāng)前版本在受影響范圍內(nèi)，則可能存在安全風(fēng)險(xiǎn)。

四、漏洞防護(hù)

4.1官方升級(jí)

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶盡快升級(jí)版本進(jìn)行防護(hù)，官方下載鏈接：

版本號(hào)	下載地址
Apache Tomcat 7.0.100	http://tomcat.apache.org/download-70.cgi
Apache Tomcat 8.5.51	http://tomcat.apache.org/download-80.cgi
Apache Tomcat 9.0.31	http://tomcat.apache.org/download-90.cgi

4.2其他防護(hù)措施

如果相關(guān)用戶暫時(shí)無(wú)法進(jìn)行版本升級(jí)，可根據(jù)自身情況采用下列防護(hù)措施。

一:若不需要使用Tomcat AJP協(xié)議，可直接關(guān)閉AJP Connector，或?qū)⑵浔O(jiān)聽(tīng)地址改為僅監(jiān)聽(tīng)本機(jī)localhost。

具體操作：

（1）編輯 /conf/server.xml，找到如下行（為 Tomcat 的工作目錄）：

（2）將此行注釋掉（也可刪掉該行）：

（3）保存后需重新啟動(dòng)Tomcat，規(guī)則方可生效。

二：若需使用Tomcat AJP協(xié)議，可根據(jù)使用版本配置協(xié)議屬性設(shè)置認(rèn)證憑證。

使用Tomcat 7和Tomcat 9的用戶可為AJP Connector配置secret來(lái)設(shè)置AJP協(xié)議的認(rèn)證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值）：

使用Tomcat 8的用戶可為AJP Connector配置requiredSecret來(lái)設(shè)置AJP協(xié)議的認(rèn)證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值）：