【風(fēng)險(xiǎn)通告】Apache Tomcat文件包含漏洞
2020-02-20 00:00:00
2020年2月20日�����,金山云安全應(yīng)急響應(yīng)中心監(jiān)控到國(guó)家信息安全漏洞共享平臺(tái)(CNVD) 發(fā)布了Apache Tomcat文件包含漏洞的安全公告,對(duì)應(yīng)漏洞編號(hào)為 CNVD-2020-10487���、CVE-2020-1938�����,攻擊者利用該漏洞可在未授權(quán)情況下讀取webapp目錄下所有文件���。目前廠商已完成漏洞修復(fù)并發(fā)布了新版本���,建議受影響的用戶盡快進(jìn)行升級(jí)��,避免損失。
漏洞編號(hào):
CVE-2020-1938
CNVD-2020-10487
漏洞名稱:
Apache Tomcat文件包含漏洞
漏洞危害等級(jí):
高危
漏洞描述:
由于Tomcat AJP協(xié)議的缺陷�,導(dǎo)致攻擊者可以利用該漏洞在未授權(quán)的條件下讀取webapp目錄下的所有文件�。一定條件下(搭配文件上傳功能)�����,可導(dǎo)致遠(yuǎn)程代碼執(zhí)行�����。
影響版本:
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
修復(fù)方案:
1. 升級(jí)Apache Tomcat到以下安全版本:Apache Tomcat 7.0.100�����、Apache Tomcat 8.5.51、Apache Tomcat 9.0.31�。
官網(wǎng)下載鏈接:
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
Github下載鏈接:https://github.com/apache/tomcat/releases
2. 暫緩措施
(1)臨時(shí)禁用AJP協(xié)議端口����,在conf/server.xml配置文件中注釋掉<Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />
(2)修改AJP配置中的secretRequired跟secret屬性來(lái)限制認(rèn)證����,重啟生效
參考鏈接:
https://www.cnvd.org.cn/webinfo/show/5415
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2020/02/20