解决方案-阿里云漏洞修复其实就是阴你-新手渗透教程

解决方案-阿里云漏洞修复其实就是阴你-新手渗透教程

最近很多同学都听说了 的关于 AJP 的漏洞，国家信息安全漏洞共享平台(CNVD) 也对此进行披露，同时该漏洞综合评级被评为“高危”，这篇文章主要用来描述，如果确认您部署在阿里云上的应用受到了影响，该如何处理。

第一种方式：直接升级 版本

根据官方描述，最好的方式是将 升级到最新版本： 升至 7.0.100、 升至 8.5.51、 9 升至 9.0.31。

这种方式最为彻底，但是缺点也很显而易见：由于这种做法属于更换底层的基础设施，如果您是生产应用，建议将风险控制在可控范围之内再进行。

第二种方式：修改配置

由于此漏洞只会对于 AJP 协议的 有影响，默认情况下 AJP 协议是打开的，但是 AJP 必须结合 httpd 一起工作才能起作用，如果您的应用中没有使用到 httpd，是可以关闭的，关闭的方式为：

如果您的应用中确实使用到了 AJP 协议的话，建议您在 的配置中，加入 和 配置项，与此同时，需要配合修改前面的 httpd 的配置；具体操作方式可搜索 httpd 和 AJP 的配置进行修改。

这种方式，不需要升级 版本，但需要对我们的 和 httpd (如果使用到了)的配置都进行修改；同时，如果集群很大的话，修改系统级别的配置会带来不确定的风险，建议结合一些运维工具批量进行。

第三种方式，关闭不必要的端口暴露

如果不幸端口确实打开了，而又不便去修改机器上的配置时；我们可以通过使用阿里云安全组策略，添加禁用ECS 上 对 8009（默认） 的端口访问的规则，或只对部分授信的 IP 放行来达到目的。

这种方式可以快速的封堵此漏洞，且不需要动机器上的配置，只需要对 ECS 有权限的运维同学就能完成操作，避免了不必要的业务回归。但是 ECS 安全组规则具有很高的维护成本，久而久之如果管理不好的话，可能会带来额外的排查诊断的的成本。

部署在阿里云 EDAS/SAE 上的应用如何操作

漏洞出来之后，EDAS/SAE 团队第一时间审查了我们所提供的 版本，包括 EDAS/SAE 和社区版本的 ，针对 ECS 集群和 集群我们得出的结论和建议是：

~

网络安全学习，我们一起交流

~