安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
CVE-2020-1938关于Apache Tomcat文件包含漏洞的通报
2020-02-24 18:10:46 【

     近日,国家信息安全漏洞库(CNNVD)收到关于Apache Tomcat文件包含漏洞(CNNVD-202002-1052、CVE-2020-1938)情况的报送。成功利用漏洞的攻击者可以读取 Tomcat所有webapp目录下的任意文件。该漏洞影响包括Apache Tomcat 9.x、Apache Tomcat 8.x、Apache Tomcat 7.x 、Apache Tomcat 6.x等多个版本的Tomcat。目前,Apache官方已发布公告对修复该漏洞做出说明,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

    一、漏洞介绍

    Tomcat是Apache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,是JAVA中间件服务器之一。Tomcat 中存在一个文件包含漏洞,攻击者利用漏洞可以读取 Tomcat所有 webapp目录下的任意文件。如果网站应用提供文件上传的功能,攻击者可以先向服务端上传一个含有恶意 JSP 脚本代码的文件,然后利用漏洞进行文件包含,从而实现代码执行。

    在受漏洞影响Tomcat 版本中,若其开启了 AJP Connector ,且攻击者能够访问 AJP Connector 服务端口的情况下,就会存在被该漏洞利用的风险。Tomcat的AJP Connector 默认配置下即为开启状态,因此该漏洞被利用的风险极大。

    二、危害影响

    成功利用漏洞的攻击者可以读取 Tomcat所有 webapp目录下的任意文件。由于该漏洞影响全版本默认配置下的 Tomcat,因部分tomcat版本过于久远,因此该漏洞影响范围至少包含下列版本,但不排除其他版本的Tomcat。影响版本如下:

    Apache Tomcat 9.x < 9.0.31

    Apache Tomcat 8.x < 8.5.51

    Apache Tomcat 7.x < 7.0.100

    Apache Tomcat 6.x

    三、修复建议

    目前,Apache官方已发布公告对修复该漏洞做出说明,可升级至9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。官方链接如下:

    http://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.31_(markt)

    要正确修复此漏洞,首先需要确定服务器环境中是否有用到 Tomcat AJP 协议:

    1、如果确定未使用 Tomcat AJP 协议,则可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。

    2、对于确定未使用 Tomcat AJP 协议,但无法进行版本更新、或者是更老版本的用户,可以考虑直接关闭 AJP Connector,或将其监听地址改为仅监听在本机 localhost。具体步骤:

    (1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

    (2)将此行注释掉(或直接删掉此行):

<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />-->

    (3)更改完毕后,重启 Tomcat 即可。

    本通报由CNNVD技术支撑单位——北京长亭科技有限公司提供支持。

    CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

    联系方式: cnnvd@itsec.gov.cn


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇什么是中间人攻击?该如何防止? 下一篇雷神众测漏洞周报2020.2.10-2.16-..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800