<b id="k3b5a"></b>
<small id="k3b5a"><dl id="k3b5a"><dfn id="k3b5a"></dfn></dl></small>

    1. <input id="k3b5a"><div id="k3b5a"></div></input>
      1. <b id="k3b5a"><kbd id="k3b5a"><xmp id="k3b5a"></xmp></kbd></b>

        
        
      2. <u id="k3b5a"><small id="k3b5a"></small></u>

        <video id="k3b5a"><big id="k3b5a"><i id="k3b5a"></i></big></video>

        <video id="k3b5a"></video>

        <u id="k3b5a"><kbd id="k3b5a"></kbd></u>

        <video id="k3b5a"><mark id="k3b5a"><u id="k3b5a"></u></mark></video>
        首頁安全服務安全公告
        正文

        針對Tomcat文件包含高危漏洞 | 黑盾云提供在線免費檢測

        發布時間:2020-03-04 10:03   瀏覽次數:245

        2月20日,國家信息安全漏洞共享平臺(CNVD)發布關于Apache Tomcat的安全公告,該漏洞綜合評級為高危,漏洞 CVE 編號 CVE-2020-1938。

         

        Tomcat是Apache軟件基金會中的一個重要項目,性能穩定且免費,是目前較為流行的Web應用服務器。由于該漏洞影響面廣,危害大。黑盾安全矩陣實驗室開發了該漏洞的在線檢測工具,方便網站管理員快速檢測是否受到該漏洞的影響,請相關用戶及時采取防護措施修復此漏洞。


        1.png

        黑盾云重大漏洞在線測試PoC地址如下:

        http://www.heiduncloud.cn/Safetyservice/onlinescanner.html

        2.png


        【漏洞描述】

        由于 Tomcat AJP協議設計的缺陷,存在文件包含漏洞:攻擊者可利用Tomcat AJP Connector讀取或包含webapp目錄下的任意文件,如配置文件或項目源代碼。此外,在目標應用有文件上傳功能的情況下,配合文件包含的利用,可遠程執行任意代碼,進而控制服務器。 


        【漏洞危害】

        利用此漏洞可讀取Tomcat webapp目錄下任意文件,造成重要文件數據泄露,同時如果應用場景存在上傳功能,可利用上傳模塊配合文件包含的利用,可造成服務器被遠程控制。


        【漏洞復現】

        在本地測試,確認可讀取webapp下任意文件,下圖為讀取xml配置文件的驗證截圖:

        3.png


        【漏洞影響版本】

        Tomcat 6、Tomcat 7、Tomcat 8、Tomcat9


        【修復方案】

        1、升級版本

        目前,Apache官方已發布9.0.31、8.5.51及7.0.100版本對此漏洞進行修復,建議用戶盡快升級新版本:

        Tomcat7 升級至7.0.100版本

        Tomcat8 升級至8.5.51版本

        Tomcat9 升級至9.0.31版本

        官方下載最新版下載地址:

        https://tomcat.apache.org/download-70.cgi

        https://tomcat.apache.org/download-80.cgi

        https://tomcat.apache.org/download-90.cgi


        2、臨時采取臨時緩解措施:

        a、編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(默認開啟的):

        4.png

        將此行注釋掉(也可刪掉該行):

        5.png


        注釋完注意重啟tomcat

        b、為AJP Connector協議配置requiredSecret安全性高、無法被輕易破解的值,來設置AJP協議認證憑證:

        <Connectorport="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />


        【參考資料】

        https://www.cnvd.org.cn/webinfo/show/5415



        福建省海峽信息技術有限公司 版權所有  聯系: hxzhb@heidun.net 閩ICP備06011901號 ? 1999-2021 Fujian Strait Information Corporation. All Rights Reserved.

        返回頂部

        【伊人】大蕉【香蕉】在线精品,【伊人】大蕉【香蕉】免费观看,中文字【伊人】大蕉香大蕉