1.漏洞介绍
2.脆弱性危害
由于Tomcat AJP协议的实现缺陷,其相关参数是可控的。攻击者可以通过构造特定的参数,利用此漏洞读取服务器webapp下的任意文件。如果服务器端有文件上传功能,攻击者可以进一步实现远程代码执行。
3.漏洞号
4.影响范围
Apache Tomcat 6
Apache Tomcat 7 & lt7.0.100
Apache Tomcat 8 & lt8.5.51
Apache Tomcat 9 & lt9.0.31
5.检测方法
用户可以通过查看版本号进行检查。通常在官网从Apache Tomcat下载的安装包名称中包含Tomcat的当前版本号。用户可以通过查看解压缩后的文件夹名称来确定当前版本。
或者您可以使用软件附带的版本模块来获取当前版本。进入Tomcat安装目录的bin目录,输入version.bat命令查看当前软件版本号。
6、修复措施
目前,Apache已经正式发布了9.0.31、8.5.51和7.0.100版本来修复这个漏洞。CNVD建议用户尽快升级新版本或采取临时缓解措施:
1.如果没有使用Tomcat AJP协议:
如果不使用Tomcat AJP协议,Tomcat可以直接升级到9.0.31、8.5.51或7.0.100版本进行漏洞修复。
如果您不能立即更新版本,或者如果您是旧版本的用户,建议直接关闭AJPConnector或更改其侦听地址,使其只侦听本地主机。
具体操作:
(1)编辑
& lt连接器端口="8009 "协议="AJP/1.3 "重定向端口="8443" />
(2)注释掉这一行(或删除):
& lt!-& lt;Connectorport="8009 "协议="AJP/1.3 "重定向端口="8443" />->;
(3)规则在保存后重新启动后才会生效。
2.如果使用Tomcat AJP协议:
建议Tomcat升级到9.0.31、8.5.51或7.0.100立即修复,同时为AJP连接器配置secret,设置AJP协议的认证证书。例如(请注意,您必须将您的_TOMCAT_AJP_SECRET更改为高度安全且不易被猜到的值):
& lt连接器端口="8009 "协议="AJP/1.3 "重定向端口="8443 "地址= "您_TOMCAT_IP_ADDRESS "机密= "您_ TOMCAT _ AJP _机密"/& gt;
如果您不能立即更新版本,或者您是旧版本的用户,建议配置AJPConnector的requiredSecret来设置AJP协议身份验证证书。例如(请注意,您必须将您的_TOMCAT_AJP_SECRET更改为高度安全且不易被猜到的值):
& lt连接器端口="8009 "协议="AJP/1.3 "重定向端口="8443 "地址= " YOUR _ TOMCAT _ IP _ ADDRESS "要求密码= " YU _ TOMCAT _ AJP _ SECRET "/& gt;
3.如果确认问题存在,无法采取上述措施,用户可以及时联系安信和程,安信和程会迅速为用户提供安全加固、安全策略调整等相关安全服务,进行应急响应,快速应对漏洞。
1.《10487 Apache Tomcat 文件包含漏洞漏洞通告》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《10487 Apache Tomcat 文件包含漏洞漏洞通告》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/shehui/1287462.html