Tomcat漏洞记录

1.AJP漏洞(CVE-2020-1938)

描述

Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。

影响

Apache Tomcat = 6
7 <= Apache Tomcat <7.0.100
8 <= Apache Tomcat <8.5.51
9 <= Apache Tomcat <9.0.31

修复

  • 禁用AJP协议
  • 下载最新版本

2.Session持久化漏洞(CVE-2020-9484)

描述

2020年5月20日,Apache Tomcat官方发布通告,披露了一个通过持久化Session导致的反序列化代码执行漏洞(CVE-2020-9484)。攻击者可能通过构造恶意请求,造成反序列化代码执行漏洞。

影响

Apache Tomcat 10.x <= 10.0.0-M4
Apache Tomcat 9.x <= 9.0.34
Apache Tomcat 8.x <= 8.5.54
Apache Tomcat 7.x <= 7.0.103

修复

  • 禁止开启Session持久化功能FileStore
  • 升级Apache Tomcat至不受本次漏洞影响的版本
展开阅读全文

没有更多推荐了,返回首页

©️2019 CSDN 皮肤主题: 大白 设计师: CSDN官方博客
应支付0元
点击重新获取
扫码支付

支付成功即可阅读