Spring boot web项目关于Apache Tomcat存在文件包含漏洞(CVE-2020-1938)的整改方法

最新推荐文章于 2024-06-06 09:59:10 发布
最新推荐文章于 2024-06-06 09:59:10 发布
阅读量2.6k 收藏 3
点赞数 1
分类专栏: java 文章标签: tomcat java spring boot
原文链接:https://segmentfault.com/a/1190000021823094
版权

背景

2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。
Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前较为流行的Web应用服务器。由于Tomcat应用范围较广,因此本次通告的漏洞影响范围较大,请相关用户及时采取防护措施修复此漏洞。

具体公告:https://www.cnvd.org.cn/webin…

spring boot web项目对应方法

如果使用的是外置tomcat,参考公告中的对应方法即可。

如果使用的是springboot的内置tomcat,且手动开启了AJP协议,则需要升级内置tomcat版本。

如果你的springboot并没有手动开启AJP,那么你可以不升级tomcat内置版本。

springboot开启AJP方法

springboot默认不启用AJP,如果需要开启,则需要手动配置,以springboot2为例:

@Bean
public WebServerFactoryCustomizer<TomcatServletWebServerFactory> servletContainer() {
  return server -> {
    if (server instanceof TomcatServletWebServerFactory) {
        ((TomcatServletWebServerFactory) server).addAdditionalTomcatConnectors(redirectConnector());
    }
  };
}

private Connector redirectConnector() {
   Connector connector = new Connector("AJP/1.3");
   connector.setScheme("http");
   connector.setPort(ajpPort);
   connector.setSecure(false);
   connector.setAllowTrace(false);
   return connector;
}

springboot如何内置tomcat版本方法

spring boot 指定内置tomcat版本的pom如下:
示例升级到8.5.51:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <artifactId>tomcat-embed-core</artifactId>
                    <groupId>org.apache.tomcat.embed</groupId>
                </exclusion>
                <exclusion>
                    <artifactId>tomcat-embed-el</artifactId>
                    <groupId>org.apache.tomcat.embed</groupId>
                </exclusion>
                <exclusion>
                    <artifactId>tomcat-embed-websocket</artifactId>
                    <groupId>org.apache.tomcat.embed</groupId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>8.5.51</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>8.5.51</version>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat</groupId>
                    <artifactId>tomcat-annotations-api</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>8.5.51</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>8.5.51</version>
            <exclusions>
                <exclusion>
                    <artifactId>tomcat-embed-core</artifactId>
                    <groupId>org.apache.tomcat.embed</groupId>
                </exclusion>
            </exclusions>
        </dependency>

这里列出了tomcat-embed-core,tomcat-embed-el,tomcat-annotations-api和tomcat-embed-websocket这四个依赖包,实际上应该根据你的具体项目中的依赖来升级版本

线上升级

由于升级只涉及jar依赖,如果部署项目是使用xxx.original+lib/*.jar方式部署。可以使用使用apache-tomcat-8.5.51.tar.gz 对对应的jar包替换。如果项目打包部署方式为xxx.jar,则直接用新构建的jar包替换原来的jar包即可。

参考

springboot2对应tomcat的AJP漏洞

luowuhui。
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于Apache Tomcat存在文件包含漏洞整改方法
01-09
安全公告编号:CNTA-2020-0004 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 一、漏洞情况分析 TomcatApache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web
Spring Boot如何优化内嵌的Tomcat示例详解
08-29
spring boot默认web程序启用tomcat内嵌容器,监听8080端口,下面这篇文章主要给大家介绍了关于Spring Boot如何优化内嵌Tomcat的相关资料,文中通过示例代码介绍的非常详细,需要的朋友可以参考借鉴,下面来一起看看吧。
探索Apache Tomcat WebSocket漏洞的利器:CVE-2020-13935 Exploit工具深度解析
最新发布
gitblog_00087的博客
06-06 449
探索Apache Tomcat WebSocket漏洞的利器:CVE-2020-13935 Exploit工具深度解析 项目地址:https://gitcode.com/RedTeamPentesting/CVE-2020-13935 在安全领域,每一个细微的漏洞都可能成为攻防双方较量的焦点。今天,我们将深入探索一个针对Apache Tomcat WebSocket组件的关键漏洞利用工具——CVE...
springboot内嵌Tomcat 安全漏洞修复
一个程序员的专栏
03-02 3667
内嵌tomcat升级版本
springboot2对应tomcat的AJP漏洞
zzhongcy的专栏
03-02 4116
背景 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的ApacheTomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。 具体公告:https://www.cnvd.org.cn/web...
CVE-2020-1938漏洞复现
小小猪的博客
12-09 3832
CVE-2020-1938漏洞复现 详细描述: Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件,如: webapp配置文件或源代码等。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。 漏洞介绍: 2020年1月6日,国家信息安全漏洞共享平台(CNVD) 发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。 该漏洞是由于Tomcat AJP协议
基于SpringBoot项目的漏洞修复经验
qq_27624807的博客
05-17 1865
漏洞修复
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)...
apache-tomcat-9.0.54-embed.zip
10-15
apache-tomcat-9.0.54-embed.zip
为了SpringBoot提交Tomcat执行,我总结了这么多
Java架构师联盟
12-16 152
之前的时候,我不是因为在公司发现centos6停止更新了,然后被运维大哥一顿嘲讽啊,回到家之后,我自己的虚拟机只能更改为centos7,虽然后台有朋友跟我说直接一步到位,改成ubuntu或者debian,但是没办法,你总要稍微的照顾一下公司老大哥的想法吧 但是今天,我就很尴尬的发现一件事,我写了一个springboot测试类,然后打包到虚拟机执行,然后我悲催的发现,上篇文章中,我只是配置了JDK一些常用的命令区别,我没配置Tomcat,这不就是很尴尬啊,所以,正好借这个机会,我配置一下tomcat,然后提交
【问题解决:信息提示】SpringBoot启动时提示The APR based Apache Tomcat Native library which allows optimal performanc...
weixin_33857679的博客
10-24 1011
问题描述 springboot程序在启动时提示信息 [2018-10-24 21:59:05.214] - 440 信息 [restartedMain] --- org.apache.catalina.core.StandardService: Starting service [Tomcat] [2018-10-24 21:59:05.220] - 440 信息 [restartedM...
apache shiro 如何升级_如何更加精确的检测Tomcat AJP文件包含漏洞(CVE20201938)
weixin_39610964的博客
11-20 550
通过上篇文章《CVE-2020-1938:Tomcat AJP协议文件包含漏洞分析》,我们知道这个漏洞出现在Tomcat默认的两个Servlet,一个是DefaultServelt,可以任意文件读取。第二个是JspServlet,可以用于文件读取和代码执行。所以我们漏洞利用的关键是让精心构造的数据包最终让这两个Servlet处理。但是在真实环境下的Web项目情况很复杂,会添加自定义的Se...
疯了..Spring 再爆惊天大漏洞。。
Java技术栈,分享最主流的Java技术
04-01 585
Spring 官宣高危漏洞 大家好,我是栈长。 前几天爆出来的 Spring 漏洞,刚修复完又来? 今天愚人节来了,这是和大家开玩笑吗? 不是的,我也是猝不及防!这个玩笑也开的太大了!! 你之前看到的这个漏洞已经是过去式了: 我以为是终点,没想到只是起点,现在 Spring 又官宣了最新的高危漏洞: Early Announcement??这只是一个早期的公告?可能还有中期?后期?往下面继续看就知道了! 漏洞详情 漏洞 CVE-2022-22965 漏洞名称 远程代码执行漏洞 严重级别
解决:AJP连接器配置secretRequired=“true“,但是属性secret确实空或者空字符串,这样的组合是无效的
丙火的博客
07-28 9361
tomcat报错内容如下 25-Apr-2021 15:35:08.897 严重 [main] org.apache.catalina.core.StandardService.startInternal Failed to start connector [Connector[AJP/1.3-8017]] org.apache.catalina.LifecycleException: 协议处理器启动失败 at org.apache.catalina.connector.Connector.st
spring-boot日志框架漏洞修复
专注Java(全栈)应用开发,求知若渴,虚心若愚,talk is cheap, show me the code.
08-12 495
Configuration后面的status,这个用于设置log4j2自身内部的信息输出,可以不设置,当设置成trace时,你会看到log4j2内部各种详细输出。日志级别以及优先级排序: OFF > FATAL > ERROR > WARN > INFO > DEBUG > TRACE > ALL。格式化输出:%date表示日期,%thread表示线程名,%-5level:级别从左显示5个字符宽度 %msg:日志消息,%n是换行符。低于2.6.2的版本都存在log4j注入漏洞。输出控制台日志的配置。...
指定SpringBoot内嵌Tomcat的版本,修复(CVE-2021-42340)漏洞
热门推荐
zzhongcy的专栏
11-15 1万+
1、查看当前使用的Tomcat版本号 1.1、Maven Repository中查看 比如我们需要查Spring Boot 2.3.12.RELEASE 的内嵌Tomcat版本, 可以打开链接: https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-parent/2.3.12.RELEASE 如下图, 红框标记的就是tomcat的版本。 1.2、查看depen...
Apache Tomcat文件包含漏洞(CVE-2020-1938)
09-11
对于Apache Tomcat文件包含漏洞(CVE-2020-1938),该漏洞是在2020年2月份公开的,影响Tomcat 9.0.0.M1至9.0.30以及8.5.0至8.5.50版本。该漏洞允许攻击者通过发送特制的请求来执行任意文件的读取和包含。 该漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值