天互数据

登录

新闻资讯 NEWS

实时发布天互官方新闻和媒体报道,了解天互最新动态

当前位置:新闻资讯 > 天互公告 > 正文
Mar
2020 21

关于Apache Tomcat存在文件包含漏洞的安全公告

  • 时间:2020/3/21 9:41:18
  • 阅读:668次


       2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。

 

安全漏洞警告


       一、漏洞情况分析
       Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中,并深受Java爱好者的喜爱,并得到了部分软件开发商的认可。


       2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。CNVD对该漏洞的综合评级为“高危”。


       二、漏洞影响范围
       CNVD平台对Apache Tomcat AJP协议在我国境内的分布情况进行统计,结果显示我国境内的IP数量约为55.5万,通过技术检测发现我国境内共有43197台服务器受此漏洞影响,影响比例约为7.8%。


       三、漏洞处置建议
       目前,Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,CNVD建议用户尽快升级新版本或采取临时缓解措施:


       1.如未使用Tomcat AJP协议:
       如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。
       如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。


       2.如果使用了Tomcat AJP协议:
       建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。
       如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配requiredSecret来设置AJP协议认证凭证。

 

附:参考链接:
https://www.cnvd.org.cn/webinfo/show/5415
https://idc.wanyunshuju.com/webaq/1294.html

——THE END——

上一篇: 天互数据提供百度智能云媒体云产品特惠低至3折起

下一篇: 天互数据获2020年度西安市大数据企业认定

为你推荐
天互数据助力成长
  • 售前咨询电话

    400-675-6239

  • 在线客服

    在线客服,立即响应

  • 建议反馈

    天互数据渴望您的建议

关注天互数据                   关注美猴云

7*24小时咨询热线
400-675-6239

关注微信公众号

公司地址:西安市高新区高新六路42号中清大厦2层
邮编:710075 传真:029-89566419

在线客服

电话咨询

扫码咨询