当前位置:首页
> 网络技术 > 安全预警
 

关于Apache Tomcat服务器文件包含漏洞的预警提示

2020-09-03 信息来源:网络技术部浏览次数:字体:[ ]

一、漏洞详情

2020年2月20日,CNVD 发布了漏洞公告(CNVD-2020-10487),Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞,在未授权的情况下远程读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。鉴于漏洞风险较高,互联网已出现利用漏洞代码,容易被大规模利用攻击,建议各单位及时开展网络安全隐患排查和整改加固工作,提高安全防范能力,发现攻击情况及时处置并报告。

二、受影响范围

序号

版本

1

Apache Tomcat 6

2

Apache Tomcat 7 < 7.0.100

3

Apache Tomcat 8 < 8.5.51

4

Apache Tomcat 9 < 9.0.31

三、建议修复方式

(一)针对无需使用TomcatAJP协议的系统

1.Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,建议尽快升级新版本。

官方下载最新版下载地址:

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

2.无法立即进行版本更新、或者是老旧版本的系统,建议禁用AJP协议功能,具体操作如下:

1)编辑   <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> Tomcat 的工作目录):

<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"   />

2)将此行注释掉(也可删掉该行):

<!--<Connectorport="8009"   protocol="AJP/1.3"redirectPort="8443" />-->

3)保存后需重新启动,规则方可生效。

(二)针对需要使用TomcatAJP协议的系统

1.Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,建议尽快升级新版本;同时为AJP Connector配置secret 来设置AJP协议的认证凭证,具体操作如下:

<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"secret="YOUR_TOMCAT_AJP_SECRET"/>

注:必须将YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值。

2.如确定使用TomcatAJP协议,且无法立即进行版本更新、或者是老旧版本的系统,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证,具体操作如下:

<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET"   />


 

Produced By 大汉网络 大汉版通发布系统