↑ 点击上方蓝色字关注我们
Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。
Apache Tomcat 服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。漏洞原因是由于Apache Tomcat AJP 协议不安全权限控制,可通过 AJP Connector 直接操作内部数据从而触发文件包含漏洞,恶意攻击者可以通过该协议端口(默认 8009),构造可控参数数据提交攻击代码,成功利用漏洞能获取目标系统敏感文件内容,或在控制可上传文件的情况下执行恶意代码获取管理权限。
Tomcat作为中间件被大范围部署在服务器上,因此本次漏洞影响较广。目前互联网上已存在利用代码,但暂不存在跨目录利用,建议受影响的Tomcat用户尽快根据官方漏洞修复方案升级到最新版本进行漏洞修复。
安全通告信息漏洞名称 | Apache Tomcat 文件包含漏洞(CVE-2020-1938)预告 |
漏洞影响版本 | Apache Tomcat 6.* |
漏洞危害等级 | 高危 |
厂商是否已发布漏洞补丁 | 是 |
版本更新地址 | https://tomcat.apache.org/download-70.cgi https://tomcat.apache.org/download-80.cgi https://tomcat.apache.org/download-90.cgi |
安全狗总通告期数 | 116 |
安全狗发布通告日期 | 2020年2月21日 |
安全狗更新通告日期 | 2020年2月21日 |
发布者 | 安全狗海靑实验室 |
1、文件读取
2、若能实现文件上传,可通过LFI实现RCE
目前官方已经提供相关漏洞补丁链接:
*Apache Tomcat 7.*分支建议更新到 7.0.100 版本
*Apache Tomcat 8.*分支建议更新到 8.5.51 版本
*Apache Tomcat 9.*分支建议更新到9.0.31 版本。
Apache Tomcat 6 已经停止维护,请升级到最新受支持的 Tomcat 版本以免遭受漏洞影响。
下载地址:
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
如果用户暂时缺乏修复漏洞的条件,可采取下列方式暂时应急:
1、临时禁用AJP协议端口,在 conf/server.xml 配置文件中注释掉09" protocol="AJP/1.3" redirectPort="8443" />,或将其监听地址改为仅监听本地。
2.为AJP Connector配置secret来设置AJP协议的认证凭证。例如如下配置: