关于Apache Tomcat服务器文件包含漏洞的预警提示
一、漏洞详情
2020年2月20日,CNVD 发布了漏洞公告(CNVD-2020-10487),Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞,在未授权的情况下远程读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。鉴于漏洞风险较高,互联网已出现利用漏洞代码,容易被大规模利用攻击,建议各单位及时开展网络安全隐患排查和整改加固工作,提高安全防范能力,发现攻击情况及时处置并报告。
二、受影响范围
序号 | 版本 |
1 | Apache Tomcat 6 |
2 | Apache Tomcat 7 < 7.0.100 |
3 | Apache Tomcat 8 < 8.5.51 |
4 | Apache Tomcat 9 < 9.0.31 |
三、建议修复方式
(一)针对无需使用TomcatAJP协议的系统
1.Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,建议尽快升级新版本。
官方下载最新版下载地址:
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
2.无法立即进行版本更新、或者是老旧版本的系统,建议禁用AJP协议功能,具体操作如下:
(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录): <Connectorport="8009"protocol="AJP/1.3"redirectPort="8443" /> (2)将此行注释掉(也可删掉该行): <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />--> (3)保存后需重新启动,规则方可生效。 |
(二)针对需要使用TomcatAJP协议的系统
1.Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,建议尽快升级新版本;同时为AJP Connector配置secret 来设置AJP协议的认证凭证,具体操作如下:
<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"secret="YOUR_TOMCAT_AJP_SECRET"/> |
注:必须将YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值。
2.如确定使用TomcatAJP协议,且无法立即进行版本更新、或者是老旧版本的系统,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证,具体操作如下:
<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" /> |