关于Apache Tomcat存在文件包含漏洞的安全问题

最新推荐文章于 2024-08-14 10:38:26 发布
最新推荐文章于 2024-08-14 10:38:26 发布
阅读量1.2k 收藏
点赞数
分类专栏: 网络安全 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyn1772671980/article/details/104511474
版权

国家信息安全漏洞共享平台发布了 《关于Apache Tomcat存在文件包含漏洞的安全公告》。大家在web环境部署的时候需要注意。升级版本或者修改配置文件 。https://www.cnvd.org.cn/webinfo/show/5415

漏洞版本:
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

官方已经发布了修复漏洞之后的版本,大家及时更新。我们是做信息安全的公司,希望大家经常关注信息安全,做好产品自身的安全防护。

麦兜_冰夕
关注
专栏目录
Tomcat 全系安全漏洞,请尽快修复
superli0427的专栏
02-27 3249
知友在官方了解到,Apache Tomcat团队今天发布公告称,Tomcat 6.x、7.x、8.x三个分支均发现安全漏洞,其中两个为重要的漏洞,建议用户尽快修复。 1.  DoS漏洞 Apache Tomcat开发团队之前修复了一个DoS漏洞,但没有修复完全。 等级:重要 受影响版本: Apache Tomcat 8.0.0-RC1 ~
Tomcat 样例目录暴露(低危)
打代码的小女孩
06-06 1万+
Apache Tomcat样例目录session操纵漏洞 0x00 背景 前段时间扫到的漏洞,研究了下,感觉挺有意思的,发出来和大家分享下,有啥不对的地方还请各位拍砖指正。 Apache Tomcat默认安装包含”/examples”目录,里面存着众多的样例,其中session样例(/examples/servlets/servlet/SessionExample)允许用户对sess...
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4245
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
漏洞复现】Aapache_Tomcat_AJP协议_文件包含漏洞(CVE-2020-1938)
过期的秋刀鱼
11-04 761
是由长亭科技安全研究员发现的存在Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。ava 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。
关于`Apache Tomcat存在文件包含漏洞`的整改
Heartsuit的博客
08-26 829
背景 作为网站负责人,上午接到了来自省通信管理局的电话:我们网站存在一个Tomcat任意文件读取的漏洞。What?? 吓死。。 整改办法 最直接的办法是升级Tomcat(可直接指定内嵌Tomcat的版本)即可(V9.0.31),这里升级通过SpringBoot的方式自动升级Tomcat版本。 SpringBoot由2.1.2.RELEASE升级至2.2.5.RELEASE <parent> <groupId>org.springframework.boot</groupId&
[渗透]Apache Tomcat示例目录漏洞
热门推荐
胖胖的ALEX
02-21 4万+
漏洞等级:中 Apache Tomcat默认安装包含"/examples"目录,该目录包含许多示例servlet和JSP。其中一些示例存在安全风险,不应部署在生产服务器上。 http://localhost:8080/examples/servlets/servlet/SessionExample 示例允许会话操作。因为会话是全局的,所以这个示例会带来很大的安全风险,因为攻击者可用通过操纵其会话来...
Apache Tomcat文件包含漏洞(CNNVD-202002-1052、CVE-2020-1938)
科技向善
03-21 1601
漏洞描述: Apache Tomcat文件包含漏洞(CNNVD-202002-1052、CVE-2020-1938):利用此漏洞的攻击者可以读取 Tomcat所有webapp目录下的任意文件。该漏洞影响包括Apache Tomcat 9.x、Apache Tomcat 8.x、Apache Tomcat 7.x、Apache Tomcat 6.x等多个版本的Tomcat。 由于该漏洞影响全版本默认...
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
CNVD-2020-10487 和 CVE-2020-1938 是同一个安全漏洞的不同命名,这个漏洞被称为“Apache Tomcat 文件包含漏洞”。此漏洞存在使得攻击者有可能通过精心构造的请求,将恶意代码注入到Tomcat服务器上,从而执行任意...
关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...
漏洞复现】Apache Tomcat AJP文件包含漏洞(CVE-2020-1938)
晚风不及你
01-12 841
Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。
Apache-Tomcat文件包含到RCE漏洞原理深入分析1
08-03
总之,Apache Tomcat的CVE-2020-1938文件包含漏洞是一个严重的安全问题,它揭示了AJP协议在安全性方面的不足。通过深入理解AJP协议的运作机制和漏洞利用原理,我们可以采取适当的措施来保护服务器免受此类攻击,并...
Apache Tomcat文件包含漏洞复现(详细教程)
weixin_60838266的博客
07-18 2336
TomcatApache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
tomcat包自带examples漏洞
m0_55070913的博客
03-24 1308
Tomcat是一款轻量级应用服务,且使用方便,解压后即可使用。在解压后的文件目录里有tomcat自带的webapp/docs和webapp/example文件夹,docs是tomcat的说明文档,example是tomcat自带的示例,可以通过http://xxxxx/docs和http://xxxxx/examples进行访问,本意是用来说明和演示tomcat的功能的。 但是最近发现有的版本的tomcat部署完成以后,这两个链接仍然可用,不太清楚是版本的原因还是部署的原因。docs是文档,所以基本不存在
Tomcat信息泄露漏洞
lch_pp的博客
09-11 1092
6.删除原来的tomcat8和tomcat,并将新apache-tomcat-8.5.87改为原始的tomcattomcat8,并删除删除新webapps下的examples(示例)# 7.把旧的server.xml;# 1.选择无漏洞的版本,https://tomcat.apache.org/download-80.cgi。# 4.复制旧的tomcattomcat-old下。# 3.备份旧的tomcat。# 5.解压新的tomcat
Tomcat 漏洞总结
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
10-09 9769
CVE-2017-12615 漏洞原理 CVE-2017-12615由于配置不当,可导致任意文件上传,影响版本:Tomcat7.0.0-7.0.81 由于配置不当,conf/web.xml中的readonly设置为flase,可导致用PUT方法上传任意文件,但限制了jsp后缀的上传 漏洞复现 使用Vulhub搭建测试环境 Vulhub - Docker-Compose file for vulnerability environment 成功启动环境 进入容器,并查看配置文件,发现r
tomcat中间件漏洞复现
kukudeshuo的博客
03-25 1866
TomcatApache 软件基金会(Apache Software Foundation)的Jakarta 项目中的一个核心项目,由Apache、Sun 和其他一些公司及个人共同开发而成。由于有了Sun 的参与和支持,最新的Servlet 和JSP 规范总是能在Tomcat 中得到体现,Tomcat 5支持最新的Servlet 2.4 和JSP 2.0 规范。因为Tomcat 技术先进、性能稳定,而且免费,因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的Web 应用服务器。
Tomcat样列目录session 操控漏洞
qq_50854662的博客
08-08 948
Tomcat样列目录session 操控漏洞
Tomcat的相对安全设置与配置(安全漏洞)
spring_is_coming的博客
09-29 2759
前言: 近期, 系统进行了漏洞测试, 更改了很多东西, 特写一篇文章进行记录 !!! 1丶存在Apache tomcat示例文件 解决方案: 删除webapps目录下的自带项目 2丶启用了不安全的HTTP方法 解决方案: 禁用未使用到的HTTP方法 // 在web.xml文件中添加, 下面在<web-app>标签中配置 <security-constraint> <web-resource-collection> <url-pattern>/*&lt
Apache Tomcat Ajp漏洞分析:从文件包含到RCE
在2020年2月20日,CNVD公开了一个关于Apache Tomcat的重大安全漏洞,即CVE-2020-1938,这是一个文件包含漏洞,影响了Tomcat的AJP协议。 AJP(Apache JServ Protocol)协议是一个通信协议,主要用于连接Web服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

麦兜_冰夕

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值