近日����,國家信息安全漏洞庫(CNNVD)收到關(guān)于Apache Tomcat文件包含漏洞(CNNVD-202002-1052、CVE-2020-1938)情況的報(bào)送���。成功利用漏洞的攻擊者可以讀取 Tomcat所有webapp目錄下的任意文件�����。該漏洞影響包括Apache Tomcat 9.x����、Apache Tomcat 8.x�����、Apache Tomcat 7.x ��、Apache Tomcat 6.x等多個(gè)版本的Tomcat�����。目前,Apache官方已發(fā)布公告對修復(fù)該漏洞做出說明�����,建議用戶及時(shí)確認(rèn)是否受到漏洞影響����,盡快采取修補(bǔ)措施。
一�、漏洞介紹
Tomcat是Apache 軟件基金會(Apache Software Foundation)的Jakarta 項(xiàng)目中的一個(gè)核心項(xiàng)目,是JAVA中間件服務(wù)器之一����。Tomcat 中存在一個(gè)文件包含漏洞,攻擊者利用漏洞可以讀取 Tomcat所有 webapp目錄下的任意文件����。如果網(wǎng)站應(yīng)用提供文件上傳的功能,攻擊者可以先向服務(wù)端上傳一個(gè)含有惡意 JSP 腳本代碼的文件�����,然后利用漏洞進(jìn)行文件包含�����,從而實(shí)現(xiàn)代碼執(zhí)行�。
在受漏洞影響Tomcat 版本中,若其開啟了 AJP Connector �����,且攻擊者能夠訪問 AJP Connector 服務(wù)端口的情況下�����,就會存在被該漏洞利用的風(fēng)險(xiǎn)��。Tomcat的AJP Connector 默認(rèn)配置下即為開啟狀態(tài)�,因此該漏洞被利用的風(fēng)險(xiǎn)極大。
二��、危害影響
成功利用漏洞的攻擊者可以讀取 Tomcat所有 webapp目錄下的任意文件���。由于該漏洞影響全版本默認(rèn)配置下的 Tomcat�,因部分tomcat版本過于久遠(yuǎn)�����,因此該漏洞影響范圍至少包含下列版本�,但不排除其他版本的Tomcat���。影響版本如下:
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x
三、修復(fù)建議
目前����,Apache官方已發(fā)布公告對修復(fù)該漏洞做出說明,可升級至9.0.31�����、8.5.51及7.0.100版本對此漏洞進(jìn)行修復(fù)�����,建議用戶及時(shí)確認(rèn)是否受到漏洞影響�����,盡快采取修補(bǔ)措施�����。官方鏈接如下:
http://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.31_(markt)
要正確修復(fù)此漏洞����,首先需要確定服務(wù)器環(huán)境中是否有用到 Tomcat AJP 協(xié)議:
1����、如果確定未使用 Tomcat AJP 協(xié)議��,則可以直接將 Tomcat 升級到 9.0.31���、8.5.51 或 7.0.100 版本進(jìn)行漏洞修復(fù)。
2�����、對于確定未使用 Tomcat AJP 協(xié)議��,但無法進(jìn)行版本更新�、或者是更老版本的用戶,可以考慮直接關(guān)閉 AJP Connector�,或?qū)⑵浔O(jiān)聽地址改為僅監(jiān)聽在本機(jī) localhost。具體步驟:
(1)編輯 <CATALINA_BASE>/conf/server.xml�,找到如下行(<CATALINA_BASE> 為 Tomcat 的工作目錄):
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
(2)將此行注釋掉(或直接刪掉此行):
<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />-->
(3)更改完畢后,重啟 Tomcat 即可�����。
本通報(bào)由CNNVD技術(shù)支撐單位——北京長亭科技有限公司提供支持��。
CNNVD將繼續(xù)跟蹤上述漏洞的相關(guān)情況,及時(shí)發(fā)布相關(guān)信息�。如有需要,可與CNNVD聯(lián)系��。
聯(lián)系方式: cnnvd@itsec.gov.cn
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
