首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)
发表于: 2020-2-21 15:03 2588

[原创]【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)

腾讯电脑管家 活跃值
2020-2-21 15:03
2588

​​【概述】

腾讯安全威胁情报中心检测到知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Apache Tomcat服务器上的Web目录文件。


【漏洞详情】

Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。

由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。

【风险等级】高危

 

【漏洞影响】

攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件。
 

【影响范围】

  Apache Tomcat 6
  Apache Tomcat 7 < 7.0.100
  Apache Tomcat 8 < 8.5.51
  Apache Tomcat 9 < 9.0.31
 

【安全版本】

  Apache Tomcat 7.0.100
  Apache Tomcat 8.5.51
  Apache Tomcat 9.0.31

【修复建议】

目前Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,腾讯安全威胁情报中心建议用户尽快升级到安全版本,或采取以下临时缓解措施:


1. 如未使用Tomcat AJP协议:

如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。
如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。


具体操作:
(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
(2)将此行注释掉(也可删掉该行):
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
(3)保存后需重新启动,规则方可生效。


2. 如果使用了Tomcat AJP协议:
建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>


如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

【漏洞链接】

1)Tomcat 官网:

0cbK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1L8$3#2U0j5i4c8Q4x3X3g2S2M7r3q4U0K9r3g2Q4x3X3g2G2M7X3N6Q4x3V1k6U0L8$3&6F1k6h3y4@1L8%4u0K6i4K6u0V1k6r3!0U0i4K6u0r3j5h3A6H3i4K6u0r3j5h3A6H3N6U0p5K6j5g2)9J5k6h3S2@1L8h3H3`.

173K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1L8$3#2U0j5i4c8Q4x3X3g2S2M7r3q4U0K9r3g2Q4x3X3g2G2M7X3N6Q4x3V1k6@1L8$3#2U0j5i4c8Q4x3X3b7^5i4K6u0W2x3q4)9J5k6r3c8G2j5#2)9J5c8X3y4G2L8X3k6A6k6#2)9J5c8X3q4B7M7q4)9J5k6h3S2@1L8h3H3`.

2)390K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6N6r3q4U0K9$3!0$3k6i4u0X3L8r3!0%4i4K6u0W2j5$3!0E0i4K6u0r3M7i4g2W2M7%4c8A6L8$3&6K6i4K6u0r3x3U0p5%4y4e0M7$3z5e0c8Q4x3V1k6%4K9r3q4@1i4K6u0V1K9i4y4Q4x3X3c8S2K9Y4m8Q4x3X3c8H3M7X3!0@1L8$3y4G2L8q4)9J5k6s2g2K6k6h3c8Q4x3X3c8X3L8%4t1`.

3)CNVD公告:08eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2U0L8Y4k6V1i4K6u0W2L8%4u0Y4i4K6u0W2j5$3&6Q4x3V1k6X3L8r3q4%4i4K6u0r3M7$3S2G2N6#2)9J5c8V1y4z5g2V1c8Q4x3X3b7J5x3o6t1H3i4K6u0V1x3e0l9@1z5o6M7`.


[培训]科锐逆向工程师培训第53期2025年7月8日开班!

收藏
免费 0
支持
分享
最新回复 (1)
mb_xghoecki
雪    币: 2510
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
2
感谢分享
2020-2-23 12:55
1
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回