tomcat登录违反协议_【漏洞预警】Apache Tomcat AJP协议高危漏洞风险提示

最新推荐文章于 2022-04-23 13:26:45 发布
最新推荐文章于 2022-04-23 13:26:45 发布
阅读量242 收藏
点赞数
文章标签: tomcat登录违反协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42519170/article/details/113017282
版权

【漏洞公告】

2020年2月4日,Apache Tomcat官方发布了新的版本,该版本修复了一个影响所有版本(7.*、8.*、9.*)的文件包含漏洞,但官方暂未发布安全公告,2020年2月20日,CNVD发布了漏洞公告,对应漏洞编号:CNVD-2020-10487,漏洞公告链接:https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

根据公告,Apache Tomcat存在的文件包含漏洞能导致配置文件或源码等敏感文件被读取,建议尽快升级到漏洞修复的版本或采取临时缓解措施加固系统。

Apache Tomcat历史安全公告请参考:

【影响范围】

该文件包含漏洞影响以下版本:

7.*分支7.0.100之前版本,建议更新到7.0.100版本;

8.*分支8.5.51之前版本,建议更新到8.5.51版本;

9.*分支9.0.31之前版本,建议更新到9.0.31版本。

官方下载地址:

或Github下载:

其他版本修复方案请参照以下解决方案:

1.如未使用Tomcat AJP协议:

如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。

具体操作:

(1)编辑 /conf/server.xml,找到如下行( 为 Tomcat 的工作目录):

Connector port=8009protocol=AJP/1.3 redirectPort=8443 />

(2)将此行注释掉(也可删掉该行):

(3)保存后需重新启动,规则方可生效。

2.如果使用了Tomcat AJP协议:

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

【漏洞描述】

根据分析,Apache Tomcat AJP协议不安全权限控制可通过AJP Connector直接操作内部数据从而触发文件包含漏洞,恶意攻击者可以通过该协议端口(默认8009)提交攻击代码,成功利用漏洞能获取目标系统敏感文件,或在控制可上传文件的情况下执行恶意代码获取管理权限。

【缓解措施】

高危:目前漏洞细节和利用代码暂未公开,但攻击者可以通过补丁对比方式逆向分析漏洞触发点和开发利用代码,安恒研究院和应急响应中心已验证漏洞的可利用性,建议及时测试并升级到漏洞修复的版本,或采取临时缓解措施加固系统。

临时缓解措施:

临时禁用AJP协议端口,在conf/server.xml配置文件中注释掉

彭元鸿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat登录违反协议_信息技术中心关于Tomcat-AJP协议漏洞预警通知
weixin_32323465的博客
01-17 116
各校内网用户:近期,Apache Tomcat被曝存在Tomcat-AJP协议漏洞(CVE-2020-1938),漏洞危害等级为“高”。对存在该漏洞的服务器,攻击者可利用该漏洞读取或包含Tomcat上webapp目录下的任意文件,如webapp配置文件和源代码等。一、漏洞影响范围安装以下版本的tomcat的服务器:ApacheTomcat9.x < 9.0.31ApacheTomcat8.x...
Tomcat 8 性能优化
KHOST的博客
12-11 992
授人以鱼不如授人以渔 本文章的目的不在于给出最佳配置,而是带领开发者,能够从实际情况出发,通过不断的调节tomcat和jvm参数,去发现吞吐量,平均响应时间和错误率等信息的变化,同时根据服务器的cpu和内存等信息,结合接口的业务逻辑,最好是测试使用率最高,并发最大,或者是最重要的接口(比如下单支付接口),设置最优的tomcat和jvm配置参数。 目的 通过Tomcat性能优化可以提高网站的并...
Tomcat9 无法启动组件[Connector[AJP/1.3-8009]]
sayyy的专栏
07-24 5182
前言 windows server 2003 tomcat 9.0.50 无法启动组件[Connector[AJP/1.3-8009]] 在tomcat中开启ajp后,启动tomcat遇到错误无法启动组件[Connector[AJP/1.3-8009]]。 错误原因 缺少配置项secretRequired。 tomcat9提供的默认的AJP配置如下: <Connector protocol="AJP/1.3" address="::1"
Tomcat配置文件的的三个端口如何修改--端口占用情况
weixin_51930617的博客
04-23 3456
在修改server.xml端口的时候,我们常常改了端口,但还是会出现端口占用的情况,这是为什么呢?因为server.xml中有三个端口port配置,分别是: 1、 2、 3、
tomcat http协议ajp协议
lanmh的专栏
06-20 1077
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。WEB服务器通过 TCP连接和SERVLET容器连接。为了减少进程生成 socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这...
关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
Apache Tomcat 文件包含高危漏洞(CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造特定参数的方式,读取服务器 webapp 目录下...
apache +tomcat集群 ajp_proxy实际操作
11-17
apache安装,配置;tomcat下载,配置,设置为服务,有详解
tomcat6_apache2.2_ajp 负载均衡加集群实战分享
01-10
一台apache2.2服务器,三台tomcat服务器: apache2.2服务器 1.ip:192.168.1.20 2.只装apache软件:httpd-2.2.6.tar.bz2 安装路径:/usr/local/apache2 tomcat服务器:均配置相同的应用。 1.集群名:balancer://tomcat...
apache-tomcat-8.0.46.zip
09-01
在这个特定的版本"apache-tomcat-8.0.46.zip"中,我们关注的是Linux平台上的Tomcat 8,这是一个包含了AJP漏洞的版本,专门用于漏洞测试目的。 首先,让我们深入了解一下Tomcat 8.0.46。这个版本发布于2017年,是...
Apache Tomcat_Window平台_三层架构部署.doc
07-28
Apache Tomcat 在Window平台上进行三层架构部署是一种常见的企业级应用架构模式,旨在提高系统的灵活性、可扩展性、安全性和性能。三层架构主要分为三个部分:Web Server、App Server以及DB Server。 1. Web Server...
Apache负载均衡+Tomcat集群 Connector port="8009" protocol="AJP/1.3"
热门推荐
guyatao13的专栏
06-18 1万+
APACHE 2.2.8+TOMCAT6.0.14配置负载均衡 目标: 使用 apachetomcat 配置一个可以应用的 web 网站,要达到以下要求: 1、  Apache 做为 HttpServer ,后面连接多个 tomcat 应用实例,并进行负载均衡。 2、  为系统设定 Session 超时时间,包括 Apachetomcat 3、  为系统屏蔽文件列表,
tomcat中server.xml配置文件中几个port的作用和区别
qq_41582642的博客
11-30 1215
tomcat的server.xml中有这么几个port,很多人虽然一直在使用tomcat,但是却不知道这几个port各有什么作用,今天博主就来简单说说她们的作用和区别,先上一段代码片段: 1.&lt;Server port="8005" shutdown="SHUTDOWN"&gt; 2.&lt;Connector connectionTimeout="20000" port="8080" ...
tomcat 的配置文件 server.xml 详解
03-11 3490
server.xml位于$TOMCAT_HOME/conf目录下,作为整个 tomcat 服务器最核心的配置文件,server.xml的每一个元素都对应了 tomcat中的一个组件,通过对xml中元素的配置,实现对 tomcat中的各个组件和端口的配置。通常初学者可以直接使用默认配置即可,但当你本机由于各种原因(如负载均衡、多实例多应用等)需要配置多个 tomcat时,就需要对server.xml...
Tomcat漏洞修复纪实
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
07-25 6709
Tomcat漏洞修复纪实 【事件描述】 最新集团扫描出一堆安全漏洞,要求限期整改,现场环境实际用的时候Apache Tomcat/7.0.94,漏洞见下图: 【漏洞修复评估】 1、漏洞修复补丁官网: http://tomcat.apache.org/security-7.html http://tomcat.apache.org/security-8.html http://tomcat.apa...
Tomcat启动模式nio,apr的区别和配置
zccmp20的专栏
06-25 1537
一般我们启动 startup.bat 的时候,启动成功会看到如下信息 【http-nio-8091】 【ajp-nio-8092】 这两行表示: http 的方式是以nio 的模式来启动的;ajp 的方式是以nio 的模式来启动的。 那么问题来了,http协议我们知道,ajp协议是什么?? 看过tomcat的server.xml配置文件的,会了解到里面有这两个连接器1)HTTP Connector <Connector port="8080" protocol="HTTP/1.1"
Tomcat使用总结
mei8023的专栏
09-29 576
一 修改控制台显示名称 在tomcat\bin\catalina.bat文件中修改控制台显示名称。    修改后,可以看到控制台名称变成 Tomcat-zafc了(原来是Tomcat)。 二 Windows上部署多个Tomcat 在windows上部署多个tomcat只需修改各个tomcat中的server.xml文件,端口正确配置即可。无需配置环境变量,若配置了CATALIN
TomcatTomcat-Ajp漏洞测试与修复
密西西凌的博客
03-12 3010
Tomcat漏洞说明 Tomcat默认开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器,因此也可以视作单独的Web服务器。 此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。 影响版本 Tomcat版本7 < 官网修复漏洞版本7.0.10...
tomcat升级9.0.40
weixin_43083074的博客
12-10 1121
tomcat 升级 9.0.40.0之后 出现以下异常 2020-12-10T01:46:01.376017000Z org.apache.catalina.LifecycleException: Protocol handler start failed 2020-12-10T01:46:01.377086000Z at org.apache.catalina.connector.Connector.startInternal(Connector.java:1067) 2020-12-
Apache-Tomcat从文件包含到RCE漏洞原理深入分析1
最新发布
08-03
漏洞简介2020年02月20日,于CNVD公开的漏洞公告中发现Apache Tomcat文件包含漏洞(CVE-2020-1938)。Apache Tomcat

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值