<object id="aygkc"></object>
<input id="aygkc"></input>
  • <input id="aygkc"></input>
  • <nav id="aygkc"><u id="aygkc"></u></nav>
    <object id="aygkc"></object>
    <input id="aygkc"></input>
  • <input id="aygkc"></input>
  • <nav id="aygkc"><u id="aygkc"></u></nav>
    <object id="aygkc"></object>
    <input id="aygkc"></input>
  • <input id="aygkc"></input>
  • <nav id="aygkc"><u id="aygkc"></u></nav>
    首頁安全服務安全公告
    正文

    針對Tomcat文件包含高危漏洞 | 黑盾云提供在線免費檢測

    發布時間:2020-02-21 17:02   瀏覽次數:116


    2月20日,國家信息安全漏洞共享平臺(CNVD)發布關于Apache Tomcat的安全公告,該漏洞綜合評級為高危,漏洞 CVE 編號 CVE-2020-1938。

     

    Tomcat是Apache軟件基金會中的一個重要項目,性能穩定且免費,是目前較為流行的Web應用服務器。由于該漏洞影響面廣,危害大。黑盾安全矩陣實驗室開發了該漏洞的在線檢測工具,方便網站管理員快速檢測是否受到該漏洞的影響,請相關用戶及時采取防護措施修復此漏洞。


    漏洞在線檢測

    黑盾云重大漏洞在線測試PoC地址如下:

    http://www.heiduncloud.cn/Safetyservice/onlinescanner.html

    微信圖片_20200304115624.png


    【漏洞描述】

    由于 Tomcat AJP協議設計的缺陷,存在文件包含漏洞:攻擊者可利用Tomcat AJP Connector讀取或包含webapp目錄下的任意文件,如配置文件或項目源代碼。此外,在目標應用有文件上傳功能的情況下,配合文件包含的利用,可遠程執行任意代碼,進而控制服務器。 

    【漏洞危害】

    利用此漏洞可讀取Tomcat webapp目錄下任意文件,造成重要文件數據泄露,同時如果應用場景存在上傳功能,可利用上傳模塊配合文件包含的利用,可造成服務器被遠程控制

    【漏洞復現】

    在本地測試,確認可讀取webapp下任意文件,下圖為讀取xml配置文件的驗證截圖

    圖片1.png


    【漏洞影響版本】

    Tomcat 6Tomcat 7Tomcat 8Tomcat9

    【修復方案】

    1、升級版本

    目前,Apache官方已發布9.0.318.5.517.0.100版本對此漏洞進行修復,建議用戶盡快升級新版本:

    Tomcat7 升級至7.0.100版本

    Tomcat8 升級至8.5.51版本

    Tomcat9 升級至9.0.31版本

    官方下載最新版下載地址:

    https://tomcat.apache.org/download-70.cgi

    https://tomcat.apache.org/download-80.cgi

    https://tomcat.apache.org/download-90.cgi

    2、臨時采取臨時緩解措施:

    a、編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(默認開啟的):


     圖片2.png

    將此行注釋掉(也可刪掉該行):

     圖片3.png

    注釋完注意重啟tomcat

    b、為AJP Connector協議配置requiredSecret安全性高、無法被輕易破解的值,來設置AJP協議認證憑證:

    <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

    【參考資料】

    https://www.cnvd.org.cn/webinfo/show/5415


    福建省海峽信息技術有限公司 版權所有  聯系: hxzhb@heidun.net 閩ICP備06011901號 ? 1999-2019 Fujian Strait Information Corporation. All Rights Reserved.

    返回頂部

    网上赚钱的平台哪个好 334| 379| 133| 13| 406| 385| 568| 28| 724| 730| 940| 598| 79| 178| 730| 763| 343| 508| 877| 142| 439| 112| 994| 424| 97| 349| 772| 715| 757| 556| 250| 253| 526| 661| 691| 340|