Tomcat的AJP漏洞的补救措施

最新推荐文章于 2024-07-29 09:37:33 发布
置顶 最新推荐文章于 2024-07-29 09:37:33 发布
阅读量4.3k 收藏 6
点赞数
分类专栏: 后端项目部署 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oschina_40527634/article/details/104723020
版权

背景

tomcat是较为常用的web服务器,近日公司发布了Tomcat中间件漏洞的整改通知,来进行对tomcat的AJP漏洞的补救,下面讲述对于tomcat的两种补救措施。

漏洞详情

国家信息安全漏洞共享平台于2月22日发布了一份关于Apache  Tomcat存在文件包含漏洞的安全报告。该漏洞综合评级为“高危”,影响的产品版本包括:Tomcat6、Tomcat7、Tomcat8、Tomcat9。报告中提到Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件,若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

官网修复漏洞版本

官网已经发布修复漏洞的Apache Tomcat版本,版本分别为:Tomcat9.0.31、Tomcat8.5.51、Tomcat7.0.100,大家可以通过Apache Tomcat官网下载相应的版本进行更新。

一、springBoot内置tomcat

首先要确定是否开启了AJP,一般springboot是默认不开启AJP协议的。如果使用的是springboot的内置tomcat,且手动开启了AJP协议,则需要升级内置tomcat版本。

springboot开启AJP方法

@Bean
    public WebServerFactory<TomcatServletWebServerFactory> servletWebConnector() {
      return server -> {
        if (server instanceof TomcatServletWebServerFactory) {
            ((TomcatServletWebServerFactory) server).addAdditionalTomcatConnectors(redirectConnector());
        }
      };
    }
 
    private Connector redirectWebConnector() {
       Connector connector = new Connector("AJP/1.3");
       connector.setScheme("http");
       connector.setPort(ajpPort);
       connector.setSecure(false);
       connector.setAllowTrace(false);
       return connector;
    }

springboot如何升级内置tomcat版本

首先要引入依赖包,然后根据依赖包进行升级

 <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
      <exclusions>
        <exclusion>
          <artifactId>tomcat-embed-core</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
        <exclusion>
          <artifactId>tomcat-embed-el</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
        <exclusion>
          <artifactId>tomcat-embed-websocket</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
      </exclusions>
    </dependency>
    <dependency>
      <groupId>org.apache.tomcat.embed</groupId>
      <artifactId>tomcat-embed-core</artifactId>
      <version>9.0.31</version>
    </dependency>
    <dependency>
      <groupId>org.apache.tomcat.embed</groupId>
      <artifactId>tomcat-embed-el</artifactId>
      <version>9.0.31</version>
    </dependency>
    <dependency>
      <groupId>org.apache.tomcat.embed</groupId>
      <artifactId>tomcat-embed-websocket</artifactId>
      <version>9.0.31</version>
      <exclusions>
        <exclusion>
          <artifactId>tomcat-embed-core</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
      </exclusions>
    </dependency>

二、通常tomcat

1、如未使用Tomcat AJP协议:

如未使用Tomcat AJP协议,直接下载对应版本修复漏洞

如有更老版本或者无法立即进行版本更新的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。具体操作如下:

(1)编辑<CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE>为Tomcat的工作目录):

        <Connector port=”8009” protocol=”AJP/1.3” redirectPort=”8443/”>

(2)将此行注释(也可删掉改行)

<!--<Connector port=”8009”  protocol=”AJP/1.3” redirectPort=”8443/”>-->

(3)保存后需重新启动,规则方可生效。

2、如果使用了Tomcat AJP协议:

建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复,同时为 AJP Connector 配置 secret 来设置 AJP 协议的认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值):

<Connector port=”8009”protocol=”AJP/1.3”redirectPort=”8443”address=”YOUR_TOMCAT_IP_ADDRESS”secret=”YOUR_TOMCAT_AJP_SECRET”>

另外,如无法立即进行版本更新、或者是更老版本的用户,建议为 AJPConnector 配置 requiredSecret 来设置 AJP 协议认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值):

<Connector port=”8009”  protocol=”AJP/1.3” redirectPort=”8443” address=”YOUR_TOMCAT_IP_ADDRESS” secret=”YOUR_TOMCAT_AJP_SECRET”>

 

老虎猫波
关注
专栏目录
13-3 tomcat AJP文件包含漏洞(CVE-2020-1938)
weixin_43263566的博客
12-02 1117
CVE-2020-1938 是一个影响 TomcatAJP文件包含漏洞。攻击者可以利用该漏洞通过 Tomcat AJP Connector 读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如配置文件或源码。如果目标应用有文件上传功能,攻击者还可以利用文件包含漏洞实现远程代码执行,造成严重的安全风险。这一漏洞的发现者为长亭科技安全研究员。由于 Tomcat AJP 协议设计上的缺陷,该漏洞存在于 Tomcat 中。影响范围ApacheTomcat 6Apache。
漏洞复现】Apache Tomcat AJP文件包含漏洞(CVE-2020-1938)
晚风不及你
01-12 842
Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。
CVE-2020-1938 Tomcat AJP漏洞复现
m0_56642842的博客
08-27 504
0x00 简介 Tomcat在server.xml中配置有HTTP连接器和AJP连接器,AJP连接器可以通过AJP协议与另一个web容器进行交互。AJP协议是定向包协议,其使用端口为8009端口,为提高性能,AJP协议采用二进制形势代替文本形势。 0x01漏洞简介 在2020年2月20日,CNVD发布了漏洞公告。该漏洞Tomcat AJP协议存在缺陷而导致,攻击者可以通过构造特定的参数,读取tomcat的webapps/ROOT目录下的任意文件。同时,若该服务器存在文件上传功能,攻击者还可以进一步实现远程
TomcatTomcat-Ajp漏洞测试与修复
密西西凌的博客
03-12 3086
Tomcat漏洞说明 Tomcat默认开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。 此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。 影响版本 Tomcat版本7 < 官网修复漏洞版本7.0.10...
技术干货 | 针对Spring-Boot 框架漏洞的初探
最新发布
2301_80127209的博客
07-29 2408
这篇文章主要是给师傅们介绍下Spring-Boot 框架漏洞的打法以及主要对于Spring-Boot漏洞的接口泄露信息进行一个分析,后面使用了曾哥的Spring-Boot漏洞扫描工具,可以很大减轻我们对于这个漏洞接口的分析。
Tomcat优化禁用AJP协议
wang_chao_yang的博客
06-09 1万+
登录tomcat 在服务状态页面中可以看到,默认状态下会启用AJP服务,并且占用8009端口。 什么是AJP呢? AJP(Apache JServer Protocol) AJPv13协议是面向包的。WEB服务器和Servlet容器通过TCP连接来交互;为了节省SOCKET创建的昂贵代价,WEB服务器会尝试维护一个永久TCP连接到servlet容器,并且在多个请求和响应周期过程会重用连接 有两种方式请求web服务 第一种:请求tomcat服务器8080 端口 直接请求 第二种:生产环境常用,在web用
springboot中对应的tomcatAJP协议及漏洞解决
爱米酱的博客
07-29 3359
1.什么是AJP协议? HTTP协议:连接器监听8080端口,负责建立HTTP连接。在通过浏览器访问Tomcat服务器的Web应用时,使用的就是这个连接器。  AJP协议:连接器监听8009端口,负责和其他的HTTP服务器建立连接。在把Tomcat与其他HTTP服务器集成时,就需要用到这个连接器。所以它的定位就是 “ Tomcat 与 HTTP 服务器之间通信的协议” AJP 是一种二进制 TCP 传输协议,通过在网络传输二进制包(packet)来完成 Tomcat 与 http 服务器的请求与响应
tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞分析
weixin_39918928的博客
11-29 676
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞概述2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布关于Apache Tomcat的安全公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可...
Tomcat AJP安全漏洞
KING丨殇痕
11-29 3347
关于Apache Tomcat存在文件包含漏洞   2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复Tomcat AJP Connector与AJP协议   Tomcat Connector 是 Tomcat 与外部连接的通道,它使得
WEB安全:Tomcat-Ajp协议漏洞分析
热门推荐
墨痕诉清风的博客
02-20 1万+
tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRequest将ajp里面的内容取出来设置成request对象的Attribute属性。然后再通过控制ajp控制的上述三个属性来读取文件,通过操控上述三个属性从而可以读取到/WEB-INF下面的所有敏感文件,不限于class、xml、jar等文件。详见https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html。
解决AJP漏洞操作记录
ranshao528的博客
05-13 5400
前言 最近Tomcat爆出AJP漏洞,升级对应版本的Tomcat是比较好的规避方法。本文将记录笔者在升级Tomcat 9.0.31时踩过的一些坑,以便大家能快速升级Tomcat。 本文只针对Tomcat 9.0.31版本的操作记录。 Tomcat受影响版本: Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x 如果未使用AJP端口,或
Tomcat9 无法启动组件[Connector[AJP/1.3-8009]]
sayyy的专栏
07-24 5328
前言 windows server 2003 tomcat 9.0.50 无法启动组件[Connector[AJP/1.3-8009]] 在tomcat中开启ajp后,启动tomcat遇到错误无法启动组件[Connector[AJP/1.3-8009]]。 错误原因 缺少配置项secretRequired。 tomcat9提供的默认的AJP配置如下: <Connector protocol="AJP/1.3" address="::1"
Tomcat配置文件的的三个端口如何修改--端口占用情况
weixin_51930617的博客
04-23 3673
在修改server.xml端口的时候,我们常常改了端口,但还是会出现端口占用的情况,这是为什么呢?因为server.xml中有三个端口port配置,分别是: 1、 2、 3、
tomcat http协议与ajp协议
lanmh的专栏
06-20 1085
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接和SERVLET容器连接。为了减少进程生成 socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这...
Tomcat漏洞复现
Bird&Bird
12-28 5628
目录一、漏洞描述二、影响范围三、漏洞分析四、环境搭建五、漏洞复现 一、漏洞描述 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615)。当存在漏洞Tomcat 运行在 Windows 主机上,且启用了HTTP PUT请求方法(例如,将 readonly 初始化参数由默认值设置为 false),攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 的webshell文件,JSP文件中的恶意代码将能被服务
Java安全-Tomcat AJP 文件包含漏洞(CVE-2020-1938)幽灵猫漏洞复现
Love&Share
11-07 2665
Tomcat AJP 文件包含漏洞(CVE-2020-1938) CVE-2020-1938 又名GhostCat ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat 上所有 webapp 目录下的任意文件 该漏洞是一个单独的文件包含漏洞,依赖于 TomcatAJP(定向包协议)。AJP 自身存在一定缺陷,由于Tomcat在处理AJP请求时,未对请求做任何验证,通过设置AJP连接器封装的request对象的属性, 导致产生任意文件读取漏洞和代码执行漏洞 .
tomcatajp及8009端口用处
xy100xy100xy100的博客
03-01 8228
tomcat常用于提供servlet/jsp容器服务,简单方便、使用高效。但是tomcat处理静态文件资源的性能不足(应该是serviece部分),同时,如果用户直接与tomcat进行http的连接获取静态资源(连接器connector部分),相对而言就更慢了(http协议基于文本,相对“基于二进制的协议”而言性能较低,后者例如ajp13协议)。 因此,如果以“使用tomcat提供servlet/jsp容器服务”为前提,又希望使其中的静态文件资源的请求性能好一点时,就要用到“tomcat中的ajp”...
Tomcat优化
zhangningkid的博客
07-17 741
优化Tomcat的JVM环境 vim /usr/local/apache-tomcat-9.0.16/bin/catalina.sh #在该注释后加入如下代码 # OS specific support. $var _must_ be set to either true or false. export JAVA_OPTS="-server -Xms512M -Xmx512M -Xss5...
AJP
yysct2005的专栏
01-05 440
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一...
Apache Tomcat Ajp漏洞分析:从文件包含到RCE
"Apache Tomcat文件包含到RCE漏洞(CVE-2020-1938)的深入分析,涉及AJP协议原理及利用方法。" Apache Tomcat是一款广泛应用的开源HTTP服务器和Servlet容器,它允许开发者构建和部署Java web应用程序。在2020年2月20...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值