tomcat登录违反协议_信息技术中心关于Tomcat-AJP协议漏洞的预警通知

最新推荐文章于 2023-05-18 06:00:00 发布
最新推荐文章于 2023-05-18 06:00:00 发布
阅读量123 收藏 1
点赞数
文章标签: tomcat登录违反协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32323465/article/details/113017284
版权
Apache Tomcat被发现存在Tomcat-AJP协议高危漏洞,可能导致攻击者读取webapp目录下的任意文件。受影响版本包括9.x < 9.0.31, 8.x < 8.5.51, 7.x < 7.0.100及6.x。建议用户立即更新至最新版或配置secret加强认证,若无法更新可关闭AJP Connector。更多信息及加固步骤见内。" 2593833,363007,Ubuntu环境下使用Axis开发Web Services教程,"['Ubuntu', 'web开发', 'Java', 'Tomcat', 'Axis']
摘要由CSDN通过智能技术生成

各校内网用户:

近期,Apache Tomcat被曝存在Tomcat-AJP协议漏洞(CVE-2020-1938),漏洞危害等级为“高”。对存在该漏洞的服务器,攻击者可利用该漏洞读取或包含Tomcat上webapp目录下的任意文件,如webapp配置文件和源代码等。

一、漏洞影响范围

安装以下版本的tomcat的服务器:

ApacheTomcat9.x < 9.0.31

ApacheTomcat8.x < 8.5.51

ApacheTomcat7.x < 7.0.100

ApacheTomcat6.x

二、加固建议

1、更新版本

Tomcat 官方已发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。无论是否使用Tomcat AJP 协议,都建议更新。具体:

Apache Tomcat 9.x < 9.0.31,更新至9.0.31;

ApacheTomcat8.x < 8.5.51,更新至8.5.51;

ApacheTomcat7.x < 7.0.100,更新至7.0.100

ApacheTomcat6.x,更新至7.0.100、8.5.51或9.0.31。

官方下载最新版下载地址:

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

或Github下载:

https

最低0.47元/天 解锁文章
多问
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Tomcat出现漏洞了,阿粉问你,线上版本更换了么?
Java极客技术
03-17 372
hello~各位读者好,我是鸭血粉丝(大家可以称呼我为「阿粉」),在这个特殊的日子里,大家要注意安全,尽量不要出门,无聊的话,就像阿粉一样,把时间愉快的...
Tomcat文件包含漏洞(CVE-2020-1938)
qq_58000413的博客
09-16 2576
Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件。漏洞造成的原因是由于ajp设计缺陷,我们可以通过修改Tomcat ajp协议的端口,也可直接考虑关闭ajp connectoy,来避免攻击者攻击。用的是python2。
你知道HTTP协议,但你了解AJP协议吗?
weixin_42051691的博客
05-09 910
什么是AJP协议,和HTTP协议有什么区别
Tomcat HTTP协议AJP协议
m0_67394360的博客
08-25 2410
支持AJP协议的代理服务器可以用这种做法,但是支持AJP代理的服务器非常少,比如目前很火爆的Nginx就没这个模块。因此tomcat的配置大部分都是关闭AJP协议端口的,因为除了Apache之外别的http server几乎都不能反代AJP13协议,没太大用处了。AJP13是一个二进制的TCP传输协议,相比HTTP这种纯文本的协议来说,效率和性能更高,也做了很多优化。今天国家信息安全漏洞平台发布了Tomcat有个AJP漏洞,涉及到各个版本,之前对AJP没有大的了解,今天特意的了解了一下。
Apache Tomcat AJP协议文件读取与包含
自强不息
05-18 967
永远也不要忘记能够笑的坚强,就算受伤,我也从不彷徨。
CNVD-2020-10487-Tomcat-Ajp-lfi_exp_
09-29
CNVD-2020-10487-Tomcat-Ajp-lfi
Tomcat-Ajp-lfi_python_
10-01
【标题】"Tomcat-Ajp-lfi_python_" 涉及的是一个针对Apache Tomcat服务器的AJP协议Local File Inclusion(LFI)漏洞利用的Python脚本。这个标题表明了我们将探讨的话题是关于网络安全,特别是针对Web服务器的攻击...
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 ...拿到CNVD-2020-10487-Tomcat-Ajp-lfi.py测
关于TomcatAJP端口禁用.docx
04-08
**关于TomcatAJP端口禁用** 在IT领域,特别是服务器管理中,安全加固是至关重要的。Tomcat作为一款广泛使用的Java Servlet容器,它的安全性直接影响到整个应用系统的稳定性和数据安全。AJP(Apache JServ ...
AJP及CSRF漏洞描述及处理方案
10-20
Apache JServ协议AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。
Tomcat架构解析之AJP
weixin_42146366的博客
08-05 3141
一、前言     除了HTTP,Tomcat还支持AJP协议,以便于Apache HTTP Server等Web服务器集成,这篇博客主要讲解AJP协议的基础知识以及其配置使用方式。 二、基础知识     为了满足负载均衡、静态资源优化、遗留系统集成(如集成PHP Web应用)等应用部署要求,我们习惯于在Servlet容...
WEB安全:Tomcat-Ajp协议漏洞分析
热门推荐
墨痕诉清风的博客
02-20 1万+
tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRequest将ajp里面的内容取出来设置成request对象的Attribute属性。然后再通过控制ajp控制的上述三个属性来读取文件,通过操控上述三个属性从而可以读取到/WEB-INF下面的所有敏感文件,不限于class、xml、jar等文件。详见https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html。
Tomcat 爆出高危漏洞
sinat_32849897的博客
03-09 1343
全宇宙只有不到 4%的人关注了精品课你真是个特别的人1漏洞背景2020年02月20日, 360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-1...
TomcatAJP漏洞的补救措施
oschina_40527634的博客
03-07 4303
背景 tomcat是较为常用的web服务器,近日公司发布了Tomcat中间件漏洞的整改通知,来进行对tomcatAJP漏洞的补救,下面讲述对于tomcat的两种补救措施。 漏洞详情 国家信息安全漏洞共享平台于2月22日发布了一份关于Apache Tomcat存在文件包含漏洞的安全报告。该漏洞综合评级为“高危”,影响的产品版本包括:Tomcat6、Tomcat7、Tomcat8、Tomca...
Coyote、HTTP、AJP、HTTP2等协议
绝圣弃智-零的博客
04-22 384
Connector是Tomcat中非常重要的一个组成部分,说白了,就是如何从客户端获取到相应的请求信息。这部分主要包括的难点有这样几个部分: 1、客户端与服务端的协议 客户端与服务端的协议是多种多样的,Tomcat肯定不能仅仅支持HTTP协议 2、数据I/O方式 I/O通常有NIO、BIO等多种方式,如何提高数据传输的效率? 一、Coyote 1、Coyote简介 Tomcat中的Connector就是Coyote,功能主要是封装了底层的网络通信。为Cata...
tomcat ajp协议安全限制绕过漏洞_Tomcat出现漏洞了,阿粉问你,线上版本更换了么?...
weixin_39630441的博客
11-25 258
hello~各位读者好,我是鸭血粉丝(大家可以称呼我为「阿粉」),在这个特殊的日子里,大家要注意安全,尽量不要出门,无聊的话,就像阿粉一样,把时间愉快的花在学习上吧。1.Tomcat漏洞介绍使用 Apache Tomcat 软件了 Java Servlet,JavaServer 页,Java 表达式语言和 Java 的 WebSocket 技术的一个开源实现。Java Servlet,J...
Tomcat AJP 文件包含漏洞(CVE-2020-1938)
m0_61506558的博客
11-20 7920
1.漏洞简介1.漏洞简介2020年2月20日,公开CNVD 的漏洞公告中发现 Apache Tomcat文件包含漏洞(CVE-2020-1938)。是Apache开源组织开发的用于处理HTTP服务的项目。Apache Tomcat 服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞,依赖于TomcatAJP(定向包协议)。AJP自身存在一定缺陷,导致存在可控参数。
servlet中处理用户非法登录页面
小KS
09-10 1908
  比如我们现在有两个页面,一个是登录页面(login.java),一个是登录后的欢迎页面(wel.java),现在我们只有先让用户正常登录后才能允许进入wel.jsp页面(也就是不准用户直接进入wel.jsp),这时我们就得用到session技术。 //login.java如下package cn.hnu;import java.io.IOException;import j
cnvd-2020-10487-tomcat-ajp-lfi
最新发布
10-21
cnvd-2020-10487-tomcat-ajp-lfi是一种利用Tomcat中Apache JServ协议AJP)的本地文件包含(LFI)漏洞。该漏洞允许攻击者在服务器上执行任意的文件读取和执行操作,从而可能导致敏感信息泄露、甚至服务器完全受控。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值