Apache Tomcat 再次爆出安全漏洞

最新推荐文章于 2024-08-14 10:38:26 发布
最新推荐文章于 2024-08-14 10:38:26 发布
阅读量1k 收藏
点赞数
文章标签: java python
原文链接:https://my.oschina.net/chengjiansunboy/blog/39066
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

漏洞:CVE-2011-3190  Apache Tomcat 绕过验证和信息泄露
严重性:严重
公布方:Apache软件基金会
受影响的版本:

  • Tomcat 7.0.0 ~ 7.0.20的所有版本
  • Tomcat 6.0.0 ~ 6.0.33的所有版本
  • Tomcat 5.5.0 ~ 5.5.33的所有版本
  • 早期的已不再提供支持的版本也可能受影响

    Apache Tomcat支持AJP协议,用来通过反向代理到Tomcat的请求和相关的数据,AJP协议的作用是,当一个请求包含请求主体时,一个未经允许的、包含请求主体首部分(或可能所有的)的AJP消息被发送到Tomcat。在某些情况下,Tomcat会把这个消息当作一个新的请求来处理,而不会当作请求主体。这可能导致攻击者完全控制AJP消息,允许攻击者:

  • 插入已验证用户的名字
  • 插入任何客户端的IP地址(可能绕过任何客户端IP地址的过滤)
  • 导致用户之间的响应混乱

下面的AJP连接器实现不会受到影响

  • org.apache.jk.server.JkCoyoteHandler (5.5.x - default, 6.0.x - default)

下面的AJP连接器实现会受到影响

  • org.apache.coyote.ajp.AjpProtocol (6.0.x, 7.0.x - default)
  • org.apache.coyote.ajp.AjpNioProtocol (7.0.x)
  • org.apache.coyote.ajp.AjpAprProtocol (5.5.x, 6.0.x, 7.0.x)

此外,这个问题只适用于以下都为真的情况:

VIA apache.org

转载于:https://my.oschina.net/chengjiansunboy/blog/39066

weixin_34130389
关注
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定...
Apache Tomcat 再爆严重安全漏洞
weixin_34235371的博客
09-14 661
Apache Tomcat 再次爆出安全漏洞: 漏洞:CVE-2011-3190 Apache Tomcat 绕过验证和信息泄露 严重性:严重 公布方:Apache软件基金会 受影响的版本: Tomcat 7.0.0 ~ 7.0.20的所有版本 Tomcat 6.0.0 ~ 6.0.33的所有版本 Tomca...
Apache Tomcat 信息泄露漏洞CVE-2024-21733、CVE-2024-24549和CVE-2024-34750排查处理
最新发布
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 4177
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot的版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat的版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞分析
weixin_39918928的博客
11-29 676
更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)一、漏洞概述2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布关于Apache Tomcat的安全公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可...
tomcat ajp协议安全限制绕过漏洞_关于 Apache Tomcat 存在文件包含漏洞的安全公告...
weixin_39919165的博客
12-01 315
一、漏洞情况分析TomcatApache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apach...
01-阿里云标准-Apache Tomcat 安全基线检查
03-25
阿里云标准-Apache Tomcat 安全基线检查 Apache Tomcat 是一个流行的开源Web服务器和Servlet容器,但是在实际应用中,如果不遵循安全基线,可能会导致安全隐患。阿里云标准-Apache Tomcat 安全基线检查旨在帮助用户...
关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...
Apache Tomcat v7.0.81
11-29
3. **安全性增强**:这个版本修复了多个安全漏洞,增强了服务器的安全性,保护了用户的数据和应用程序不受攻击。 4. **管理工具**:Tomcat提供了一个内置的管理界面,可以方便地管理应用部署、监控服务器状态以及...
apache Tomcat 漏洞
09-27
然而,正如所有软件系统一样,Apache Tomcat在发展过程中也暴露出了若干安全漏洞,这些漏洞可能被攻击者利用,对运行中的应用服务器造成不同程度的影响。 #### 二、具体漏洞分析 本次讨论的漏洞主要涉及输入验证...
apache tomcat ajp协议安全限制绕过漏洞_烽火狼烟丨Apache Tomcat AJP协议文件包含漏洞风险提示...
weixin_35968572的博客
01-18 268
点击上方“盛邦安全WebRAY”可以订阅前言2020年2月20日, WebRAY安全服务部发现国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat存在文件包含漏洞公告,该公告表示Apache Tomcat存在的文件包含漏洞能导致配置文件或源码等敏感文件被读取。ApacheTomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为...
apache tomcat ajp协议安全限制绕过漏洞_Apache Tomcat AJP协议文件读取与包含漏洞【远程扫描】...
weixin_39620535的博客
01-15 283
2020年2月20日,飓风安全应急响应中心监测到CNVD披露 Apache Tomcat 服务器AJP协议存在文件读取与包含高危漏洞。CVE:无披露时间:2020年2月20日 00:00:42CVSS:10危险等级:严重漏洞特征:远程代码执行详情Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。默认情况下,Apache Tomcat会开启...
tomcat ajp协议安全限制绕过漏洞_国家信息安全漏洞共享平台发布Apache Tomcat漏洞安全公告...
weixin_39616880的博客
12-10 136
2月22日消息 国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,具体如下: 安全公告编号:CNTA-2020-0004 2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)...
apache tomcat ajp协议安全限制绕过漏洞_TomcatAjp漏洞:我是如何一步步写出POC的?...
weixin_39956009的博客
01-17 597
前言晚上,朋友圈有人发了篇tomcat-ajp漏洞的通告和一个简要分析的文章,也是当时唯一的参考文章,本着“好好学习、天天向上”的态度,作为小白,就想试着分析下,看看能不能写出poc。所以本文主要讲述一个小白(当然也不能太白,java至少要会吧,网站要知道是啥吧)如何一步步调试分析,编写poc的过程。一、漏洞介绍简单来说就是apache tomcat服务器的8009端口上的ajp协议存在...
tomcat ajp协议安全限制绕过漏洞_Apache tomcat 文件包含漏洞复现(CVE20201938)
weixin_39792747的博客
11-25 489
漏洞背景Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等。由于Tomcat本身也内含了一个HTTP服务器,它也可以被视作一个...
关于 Server:Apache-Coyote/1.1 版本泄露漏洞解决方案
新手记录工作中成长点滴-
08-07 5575
vim /etc/httpd/conf/httpd.conf 设置httpd ServerTokens Prod 对于网上普通推荐以上方式不能用的朋友,可以试试以下方式 <Connector port="8088" protocol="HTTP/1.1" connectionTimeout="20000" server="Apache" redirectPort="8443" URIEncoding="UTF-8" maxPost.
复现awvs——CVE-2011-3192(Apache httpd 远程拒绝服务)
记录并分享学习安全的知识点..
02-19 5514
一、漏洞描述 在多个方式中发现了一个拒绝服务漏洞 重叠范围由 Apache HTTPD 服务器处理: http://seclists.org/fulldisclosure/2011/Aug/175 一种攻击工具在野外流传。 积极使用此工具已 被观察到。 攻击可以远程完成,只需少量请求即可 导致服务器上非常显着的内存和 CPU 使用率。 二、影响版本 Apache 版本(1.3.x、2.0.x 到 2.0.64 和 2.2.x 到 2.2.19) 三、awvs扫描结果 四、漏洞复现 CVE-
【2022/12/19】记录一次某客户系统的漏洞挖掘
2201_75934622的博客
12-19 1788
各位CSDN的小伙伴们,大家好啊!这是本人在CSDN的第一次发文,还望各位大佬们嘴下留情,多多提点。 今天我打算记录一个Java系统的漏洞挖掘,其中该系统的主要的问题是没有做越权防护,其他漏洞暂时没有挖到,本人技术不够精湛,所以暂先记录着吧,每天进步一点,总会有变强的一天。
Apache Tomcat和拒绝服务漏洞
06-09
Apache Tomcat是一个流行的开源Java Servlet容器,可用于Web应用程序的部署。然而,Apache Tomcat也存在一些安全漏洞,其中包括拒绝服务漏洞。 拒绝服务漏洞(Denial of Service,DoS)是指攻击者通过向目标系统发送大量的请求或数据包,使其无法正常工作或响应其他合法用户的请求。在Apache Tomcat中,拒绝服务漏洞可能导致服务器崩溃或停止响应。 为了防止拒绝服务攻击,Apache Tomcat团队已经发布了多个补丁程序。对于使用Apache Tomcat的用户,应该定期更新到最新版本,并采取其他安全措施,如限制访问、使用防火墙等。此外,还应该注意安全最佳实践,如使用强密码、限制用户权限等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值