安全動態(tài)

關(guān)于Apache Tomcat存在文件包含漏洞(CVE-2020-1938)的安全公告

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-02-21    瀏覽次數(shù):
 

信息來源:CNVD

安全公告編號:CNTA-2020-0004

2020年1月6日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發(fā)現(xiàn)并報送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,對應(yīng)CVE-2020-1938)。攻擊者利用該漏洞,可在未授權(quán)的情況下遠程讀取特定目錄下的任意文件。目前,漏洞細節(jié)尚未公開,廠商已發(fā)布新版本完成漏洞修復(fù)。

一、漏洞情況分析

Tomcat是Apache軟件基金會Jakarta 項目中的一個核心項目,作為目前比較流行的Web應(yīng)用服務(wù)器,深受Java愛好者的喜愛,并得到了部分軟件開發(fā)商的認可。Tomcat服務(wù)器是一個免費的開放源代碼的Web應(yīng)用服務(wù)器,被普遍使用在輕量級Web應(yīng)用服務(wù)的構(gòu)架中。

2020年1月6日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發(fā)現(xiàn)并報送的Apache Tomcat文件包含漏洞。Tomcat AJP協(xié)議由于存在實現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控,攻擊者利用該漏洞可通過構(gòu)造特定參數(shù),讀取服務(wù)器webapp下的任意文件。若服務(wù)器端同時存在文件上傳功能,攻擊者可進一步實現(xiàn)遠程代碼的執(zhí)行。

CNVD對該漏洞的綜合評級為“高?!薄?

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括:

Tomcat 6

Tomcat 7

Tomcat 8

Tomcat 9

CNVD平臺對Apache Tomcat AJP協(xié)議在我國境內(nèi)的分布情況進行統(tǒng)計,結(jié)果顯示我國境內(nèi)的IP數(shù)量約為55.5萬,通過技術(shù)檢測發(fā)現(xiàn)我國境內(nèi)共有43197臺服務(wù)器受此漏洞影響,影響比例約為7.8%。

三、漏洞處置建議

目前,Apache官方已發(fā)布9.0.31、8.5.51及7.0.100版本對此漏洞進行修復(fù),CNVD建議用戶盡快升級新版本或采取臨時緩解措施:

1.   如未使用Tomcat AJP協(xié)議:

如未使用 Tomcat AJP 協(xié)議,可以直接將 Tomcat 升級到 9.0.31、8.5.51或7.0.100 版本進行漏洞修復(fù)。

如無法立即進行版本更新、或者是更老版本的用戶,建議直接關(guān)閉AJPConnector,或?qū)⑵浔O(jiān)聽地址改為僅監(jiān)聽本機localhost。

具體操作:

(1)編輯 <CATALINA_BASE>/conf/server.xml,找到如下行

(<CATALINA_BASE> 為 Tomcat 的工作目錄):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

(2)將此行注釋掉(也可刪掉該行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新啟動,規(guī)則方可生效。

2.   如果使用了Tomcat AJP協(xié)議:

建議將Tomcat立即升級到9.0.31、8.5.51或7.0.100版本進行修復(fù),同時為AJP Connector配置secret來設(shè)置AJP協(xié)議的認證憑證。

例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個安全性高、無法被輕易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" 

address="YOUR_TOMCAT_IP_ADDRESS" secret=

"YOUR_TOMCAT_AJP_SECRET"/>

如無法立即進行版本更新、或者是更老版本的用戶,建議為AJPConnector配置requiredSecret來設(shè)置AJP協(xié)議認證憑證。

例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個安全性高、無法被輕易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" 

address="YOUR_TOMCAT_IP_ADDRESS" 

requiredSecret="YOUR_TOMCAT_AJP_SECRET" />


附:參考鏈接:

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for


感謝CNVD技術(shù)組成員單位——北京長亭科技有限公司為本報告提供的技術(shù)支持。

感謝CNVD技術(shù)組成員單位——北京知道創(chuàng)宇信息技術(shù)股份有限公司為本報告提供的數(shù)據(jù)支持。

 
 

上一篇:央行發(fā)布《個人金融信息保護技術(shù)規(guī)范》,無資質(zhì)不得收集手機號等信息

下一篇:2020年02月21日 聚銘安全速遞