安全的tomcat文件服务器,#安全漏洞#【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)【概述】腾讯安全威胁情报中心监测到知名Web应用服务器Apache【必火...

最新推荐文章于 2023-09-25 11:11:38 发布
最新推荐文章于 2023-09-25 11:11:38 发布
阅读量376 收藏 1
点赞数 2
文章标签: 安全的tomcat文件服务器

#安全漏洞#

【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)

【概述】

腾讯安全威胁情报中心监测到知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Apache Tomcat服务器上的Web目录文件。

【漏洞详情】

Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。

由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。

【风险等级】高危

【漏洞影响】

攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件。

【影响范围】

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

【安全版本】

Apache Tomcat 7.0.100

Apache Tomcat 8.5.51

Apache Tomcat 9.0.31

【修复建议】

目前Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,腾讯安全威胁情报中心建议用户尽快升级到安全版本,或采取以下临时缓解措施:

1. 如未使用Tomcat AJP协议:

如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。

具体操作:

(1)编辑 /conf/server.xml,找到如下行( 为 Tomcat 的工作目录):

(2)将此行注释掉(也可删掉该行):

(3)保存后需重新启动,规则方可生效。

2. 如果使用了Tomcat AJP协议:

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

4df8590f7df7a6f5c293b91e81edd1d1.png

晓晓姑娘
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Tomcat 文件包含漏洞CNVD-2020-10487,对应 CVE-2020-1938)
03-05
压缩包中含有详细的文档说明、操作指南以及所需要的附件。本作者亲自验证有效。如果有问题,请联系作者QQ。
TomcatTomcat多个版本存在信息泄漏漏洞
cnskylee的博客
05-20 3255
官方原文对于该漏洞的描述(看着这描述,比较费力,这里就不做翻译了)When using the RemoteIpFilter with requests received from a reverse proxy via HTTP that include the X-Forwarded-Proto header set to https, session cookies created by Apache Tomcat 11.0.0-M1 to 11.0.0.-M2, 10.1.0-M1 to 10.1
Apache Solr RCE复现(CVE-2019-0192)
whojoe的博客
07-22 1271
Apache Solr RCE复现(CVE-2019-0192)前言环境搭建漏洞复现参考文章 前言 影响版本 5.0.0至5.5.5 6.0.0至6.6.5 环境搭建 下载ysoserial https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar 启动docker systemctl start docker 下载环境 docker pull solr:6.1 启动环境
Tomcat常见漏洞复现
可爱的我可爱的code
11-20 2752
欢迎到我的小博客站光顾:www.xpshuai.cn 后台管理页面弱口令 默认:http://127.0.0.1:8080/manager/html页面只允许本地访问,除非管理员手工修改了这些属性 1.尝试登录后台 1.尝试默认账户密码:tomcat:tomcat 2.如果不是,尝试用弱口令字典进行爆破 # hydra爆破manager后台 hydra -L user.txt -P user.txt -f 10.10.10.81 -s 8080 http-get /manager/html 2.部署w.
tomcat8.0.43文件上传漏洞
weixin_42786460的博客
09-25 349
tomcat8.0.43文件上传漏洞
Tomcat/8.0.43漏洞复现
RMC131的博客
09-25 1587
服务器是用的百度云个人新用户的一个月试用,漏洞环境是ubuntu+docker+Vulhub靶场。(以前没用过,docker竟然这么好使)环境搭建比较简单(换源,docker,git,build,up),没有必要写了。
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner:CNVD-2020-10487 CVE-2020-1938,扫描仪工具
03-20
python2多线程扫描Tomcat-Ajp协议文件重新定义 刷src分狗的福利poc扩大 poc作者不是本人!!!! 操作 1,将需要扫描的域名/ ip放于ip.txt ip.txt中不需要加协议,某种 ...拿到CNVD-2020-10487-Tomcat-Ajp-lfi.py测
CNVD-2020-10487-Tomcat-Ajp-lfi_exp_
09-29
CNVD-2020-10487-Tomcat-Ajp-lfi
Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~ 10 中招…
sinat_32849897的博客
07-02 1277
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。不要使用含有漏洞的组件每次也都被评...
Apache Tomcat文件包含漏洞:攻击者可利用该漏洞读取webapp目录下的任意文件
qq_20282955的博客
02-24 2856
0x01 漏洞背景 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持。...
vulhub复现之tomcat8.0.43弱口令&war远程部署漏洞复现
m0_70483044的博客
07-19 2415
学习时间2022.7.18一日之计在于晨,一年之计在于春。
Apache Tomcat 存在 JsonErrorReportValve 注入漏洞(CVE-2022-45143)
murphysec的博客
01-05 5968
Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含…/的参数实现路径穿越,利用漏洞删除zeppelin相关或其他任意文件。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。
WEB安全Tomcat-Ajp协议漏洞分析
墨痕诉清风的博客
02-20 1万+
tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRequest将ajp里面的内容取出来设置成request对象的Attribute属性。然后再通过控制ajp控制的上述三个属性来读取文件,通过操控上述三个属性从而可以读取到/WEB-INF下面的所有敏感文件,不限于class、xml、jar等文件。详见https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html。
Apache Tomcat 安全漏洞(CVE-2020-13935)复现
fwdwqdwq的博客
08-01 4865
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。ApacheTomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。靶机配置Docker。...
tomcat常见漏洞
scu_hacker博客
01-17 1万+
前言 tomcatapache一样是一个免费的服务器,主要用于jsp框架的网站,可以看作是apache的一个扩展,但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞。 一、任意文件上传 1.1 影响版本 tomcat 7.0.x --------------cve-2017-12615 1.2 初始配置 需要在windows下将配置文件的readonly改为false 1.3 漏洞详情 tomcat允许适用put方法...
Tomcat 又爆出高危漏洞Tomcat 8.5~10 中招…
热门推荐
CSDN资讯
07-03 1万+
作者 | 栈长来源 | Java技术栈开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏...
Tomcat爆出严重漏洞,影响所有版本,附解决方案!
xmt1139057136的专栏
02-22 1万+
作者:业余草来源:https://www.xttblog.com/?p=4809昨天,群里聊嗨了。大家都在远程办公,却都急急忙忙的升级线上的 Tomcat 版本,原因就是 Tomcat ...
cnvd-2020-10487-tomcat-ajp-lfi
最新发布
10-21
cnvd-2020-10487-tomcat-ajp-lfi是一种利用TomcatApache JServ协议(AJP)的本地文件包含(LFI)漏洞。该漏洞允许攻击者在服务器上执行任意的文件读取和执行操作,从而可能导致敏感信息泄露、甚至服务器完全受控。 攻击者可以通过将恶意的AJP请求发送到Tomcat服务器的8009端口来利用该漏洞。这些请求可以指定要读取的文件路径。由于Tomcat默认配置下AJP协议启用且未进行适当的安全限制,攻击者可以通过这个漏洞读取和执行服务器上的任意文件。 为了防止受到cnvd-2020-10487-tomcat-ajp-lfi漏洞的攻击,可以采取以下措施: 1. 禁用或限制AJPS协议的使用:可以通过修改Tomcat的配置文件来禁用或限制AJPS协议的使用。将AJP协议暴露在公共网络上可能会使服务器容易受到攻击。 2. 更新Tomcat版本:及时安装Tomcat安全更新和补丁,以保持服务器安全性和稳定性。 3. 配置Tomcat访问控制:通过配置Tomcat的访问控制策略,限制外部访问与敏感文件相关的路径。 4. 使用防火墙和入侵检测系统(IDS):配置防火墙和IDS以监控和检测异常的网络活动,并及时阻止和警示可疑的AJP请求。 5. 最小权限原则:确保服务器上的所有账户和进程都具有最小权限。这样,即使攻击者成功利用了漏洞,也能够最大限度地减小攻击的影响范围。 综上所述,cnvd-2020-10487-tomcat-ajp-lfi是一种危险的漏洞,但通过采取适当的防护措施,我们可以提高服务器安全性,避免受到该漏洞的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值