Tomcat 爆出高危漏洞!

最新推荐文章于 2024-06-03 15:39:32 发布
最新推荐文章于 2024-06-03 15:39:32 发布
阅读量1.3k 收藏
点赞数
分类专栏: java hack 文章标签: tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dome_/article/details/104525304
版权
本文详细介绍了Apache Tomcat的高危漏洞CNVD-2020-10487,该漏洞可能导致任意文件读取和命令执行。影响Tomcat 6, 7, 8, 9的多个版本。漏洞分析涉及AJP Connector、代码路径及漏洞利用方式,并提供了修复建议,包括升级到7.0.100, 8.5.51, 9.0.31及以上版本。" 112437292,10541732,Docker容器镜像操作:拉取、查看与仓库,"['Docker', '镜像操作', '容器', 'Docker Hub']
摘要由CSDN通过智能技术生成
最低0.47元/天 解锁文章
K'illCode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
采用ajp代理模式配置Apache+tomcat实现负载均(附件中具有详细配置)
08-09
NULL 博文链接:https://xiaowei-qi-epro-com-cn.iteye.com/blog/2175105
Tomcat架构解析之AJP
weixin_42146366的博客
08-05 3095
一、前言     除了HTTP,Tomcat还支持AJP协议,以便于Apache HTTP Server等Web服务器集成,这篇博客主要讲解AJP协议的基础知识以及其配置使用方式。 二、基础知识     为了满足负载均衡、静态资源优化、遗留系统集成(如集成PHP Web应用)等应用部署要求,我们习惯于在Servlet容...
tomcat系列漏洞利用
2401_84488537的博客
06-03 1326
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
Tomcat- AJP协议文件读取/命令执行漏洞(CVE-2020-1938 / CNVD-2020-10487)
好好睡觉
02-17 4085
tomcat漏洞、幽灵猫漏洞、apache反向代理tomcat
Tomcat AJP 文件包含漏洞(CVE-2020-1938)
m0_61506558的博客
11-20 7854
1.漏洞简介1.漏洞简介2020年2月20日,公开CNVD 的漏洞公告中发现 Apache Tomcat文件包含漏洞(CVE-2020-1938)。是Apache开源组织开发的用于处理HTTP服务的项目。Apache Tomcat 服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞,依赖于Tomcat的AJP(定向包协议)。AJP自身存在一定缺陷,导致存在可控参数。
tomcat中ajp及8009端口用处
xy100xy100xy100的博客
03-01 8037
tomcat常用于提供servlet/jsp容器服务,简单方便、使用高效。但是tomcat处理静态文件资源的性能不足(应该是serviece部分),同时,如果用户直接与tomcat进行http的连接获取静态资源(连接器connector部分),相对而言就更慢了(http协议基于文本,相对“基于二进制的协议”而言性能较低,后者例如ajp13协议)。 因此,如果以“使用tomcat提供servlet/jsp容器服务”为前提,又希望使其中的静态文件资源的请求性能好一点时,就要用到“tomcat中的ajp”...
Tomcat 爆出高危漏洞及修复
Happy Simon
03-13 6142
今天跟大家分享Tomcat 爆出高危漏洞及修复的知识。 1 Tomcat 爆出高危漏洞及修复 1.1 漏洞背景 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsyste...
关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
Apache Tomcat 文件包含高危漏洞修复措施 Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造...
Tomcat-8.5.28 无漏洞
03-05
在本文中,我们将深入探讨Tomcat 8.5.28这一特定版本,以及它如何修复了一个安全限制绕过漏洞。 标题中的"Tomcat-8.5.28 无漏洞"意味着该版本已经对已知的安全问题进行了修补,确保了用户的服务器不会受到这些漏洞...
Tomcat压缩文件!
09-23
3. **安全性**:包含了最新的安全补丁,以防止已知的安全漏洞,保护服务器免受攻击。 4. **配置改进**:提供了一些新的配置选项,使得服务器的配置更加灵活。 5. **日志改进**:增强了日志系统,允许更精细的日志...
Tomcat笔记+源码!!!!!!!!!!
最新发布
06-08
【标题】"Tomcat笔记+源码"涵盖了关于Apache Tomcat服务器的重要学习资源,这包括了实际操作的笔记以及源代码分析。Tomcat是Java Servlet和JavaServer Pages(JSP)技术的开源应用服务器,是Java EE应用部署的常用...
tomcat漏洞处理.zip
05-15
Tomcat漏洞处理详解》 在信息技术领域,服务器的安全性是至关重要的,而Apache Tomcat作为一款广泛应用的Java Servlet容器,其安全性问题更是备受关注。本文将深入探讨Tomcat漏洞处理的相关知识,帮助读者理解并...
Tomcat AJP安全漏洞
KING丨殇痕
11-29 3301
关于Apache Tomcat存在文件包含漏洞   2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 Tomcat AJP Connector与AJP协议   Tomcat Connector 是 Tomcat 与外部连接的通道,它使得
WEB安全:Tomcat-Ajp协议漏洞分析
热门推荐
墨痕诉清风的博客
02-20 1万+
tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRequest将ajp里面的内容取出来设置成request对象的Attribute属性。然后再通过控制ajp控制的上述三个属性来读取文件,通过操控上述三个属性从而可以读取到/WEB-INF下面的所有敏感文件,不限于class、xml、jar等文件。详见https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html。
Tomcat HTTP协议与AJP协议
m0_67394360的博客
08-25 2399
支持AJP协议的代理服务器可以用这种做法,但是支持AJP代理的服务器非常少,比如目前很火爆的Nginx就没这个模块。因此tomcat的配置大部分都是关闭AJP协议端口的,因为除了Apache之外别的http server几乎都不能反代AJP13协议,没太大用处了。AJP13是一个二进制的TCP传输协议,相比HTTP这种纯文本的协议来说,效率和性能更高,也做了很多优化。今天国家信息安全漏洞平台发布了Tomcat有个AJP漏洞,涉及到各个版本,之前对AJP没有大的了解,今天特意的了解了一下。
springboot中对应的tomcat的AJP协议及漏洞解决
爱米酱的博客
07-29 3223
1.什么是AJP协议? HTTP协议:连接器监听8080端口,负责建立HTTP连接。在通过浏览器访问Tomcat服务器的Web应用时,使用的就是这个连接器。  AJP协议:连接器监听8009端口,负责和其他的HTTP服务器建立连接。在把Tomcat与其他HTTP服务器集成时,就需要用到这个连接器。所以它的定位就是 “ Tomcat 与 HTTP 服务器之间通信的协议” AJP 是一种二进制 TCP 传输协议,通过在网络传输二进制包(packet)来完成 Tomcat 与 http 服务器的请求与响应
AJP13漏洞
u010563350的博客
02-06 4364
1.AJP13漏洞。 介绍: 多人发送多个请求,tomcat复用一个TCP链接。 通常情况下,这个链接会随着你什么事都不做而断开--发送FIN。 然后你可以通过ip:端口/manager访问8009端口,用密码登录。-(我试过了,密码纯数字的不能登录) 等到GUI后台就像这样: 2.如何利用? 登到后台要上传war包。war包和jar包是什么? war包是动态web资源...
中间件安全—Tomcat常见漏洞
ZL_1618的博客
03-21 2473
链接。
tomcat weblogic jboss 漏洞
12-16
在过去,Tomcat曾经发生过一些安全漏洞,例如路径遍历漏洞和身份验证绕过漏洞。这些漏洞有可能导致黑客可以利用Tomcat服务器来执行恶意代码或窃取敏感信息。 WebLogic是Oracle公司开发的企业级Java应用服务器,供...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值