您的位置:首页 > 移动互联

国家信息安全漏洞共享平台发布Apache Tomcat漏洞安全公告

发布时间:2020-02-22 09:24:56  来源:互联网     背景:

  2月22日消息 国家信息安全漏洞共享平台(CNVD)近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告,具体如下:

image.png

  安全公告编号:CNTA-2020-0004

  2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。

  一、漏洞情况分析

  Tomcat 是 Apache 软件基金会 Jakarta 项目中的一个核心项目,作为目前比较流行的 Web 应用服务器,深受 Java 爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,被普遍使用在轻量级 Web 应用服务的构架中。

  2020 年 1 月 6 日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器 webapp 下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

  CNVD 对该漏洞的综合评级为“高危”。

  二、漏洞影响范围

  漏洞影响的产品版本包括:

  Tomcat 6

  Tomcat 7

  Tomcat 8

  Tomcat 9

  CNVD 平台对 Apache Tomcat AJP 协议在我国境内的分布情况进行统计,结果显示我国境内的 IP 数量约为 55.5 万,通过技术检测发现我国境内共有 43197 台服务器受此漏洞影响,影响比例约为 7.8%。

  三、漏洞处置建议

  目前,Apache 官方已发布 9.0.31、8.5.51 及 7.0.100 版本对此漏洞进行修复,CNVD 建议用户尽快升级新版本或采取临时缓解措施:

  1. 如未使用 Tomcat AJP 协议:

  如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。

  如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭 AJPConnector,或将其监听地址改为仅监听本机 localhost。

  具体操作:

  (1)编辑/conf/server.xml,找到如下行(为 Tomcat 的工作目录):

  (2)将此行注释掉(也可删掉该行):

  (3)保存后需重新启动,规则方可生效。

  2. 如果使用了 Tomcat AJP 协议:

  建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复,同时为 AJP Connector 配置 secret 来设置 AJP 协议的认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值)

  如无法立即进行版本更新、或者是更老版本的用户,建议为 AJPConnector 配置 requiredSecret 来设置 AJP 协议认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值):

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。


返回网站首页

本文评论
携手中国银联送福利,Samsung Pay新绑卡消费20送10
摘要:在移动互联网的普及与日渐成熟下... 在移动互联网的普及与日渐成熟下,移动支付已经......
日期:04-22
5G迎来商用,中国移动首次集中展示5G+行业应用
11月1日晚间消息,三大运营商在10月31日的中国国际信息通信展览会上正式宣布5G商用。展会期间,中国......
日期:11-02
苹果将限制Facebook旗下应用的互联网语音功能
北京时间7日早间消息,知情人士称苹果公司正在对其iOS操作系统进行调整,将限制Facebook旗下Messeng......
日期:08-07
中国联通电信加速5G共建共享:有望扩展到2.1GHz频段
在今天召开的“2019未来信息通信技术国际研讨会”上,中国联通网络运维部总经理马红兵表......
日期:11-21
中国移动5G能源互联网联盟-5G能源专网论坛在京举行
6月14日,中国移动5G能源互联网联盟-5G能源专网论坛在京举行。2018年12月中国移动联合多家能源单位共......
日期:06-17
Fluent Design重绘!微软Office APP全面升级:UI/动画焕然一新
今年的Build 2019大会上,微软表明了将Win10的Fluent Design(流畅设计语言)应用于更多自家程序的想......
日期:12-06
TeamViewer 被攻击
近日,深圳市网络与信息安全信息通报中心表示,有境外黑客组织 APT41 对 TeamViewer 进行网络攻击,......
日期:10-12
知识图谱再突破,平安科技获图形数据库领导者Neo4j极高荣誉
美国时间12月18日,图形数据库领导者Neo4j宣布了2019年Neo4j Graphie奖的获奖者名单,平安科技荣获本......
日期:12-20
以为部署上SSL证书就高枕无忧?你的SSL证书会过期!
在21世纪,人们越来越注重个人隐私的安全性,近些年爆出越来越多数据泄露的问题,已经慢慢开始对普......
日期:11-20
移动互联网用户与使用时长双下跌 精细化运营流量池或成趋势
近期,QuestMobile发布中国移动互联网2019半年大报告,显示上半年无论是用户量还是用户时长,增速都......
日期:08-19
惠动羊城,华为云“专属粤”释放泛娱乐产业新动能
过去,说到“云游戏”可能会被人嗤笑“痴人说梦”。...
日期:11-06
百度大脑开放智能春联API接口 你的应用也能自己写春联
智能春联春节爆红,百度大脑为开发者发放自然语言处理技术红利。1月28日,网络春节联欢晚会(简称网......
日期:01-30
小米游戏本2019款今日开卖,i5+GTX 1660Ti 7299元起
8月16日消息 小米于8月4日正式发布了小米游戏本2019。其搭载了最新的Intel九代酷睿处理器、NVIDIA图......
日期:08-16
尚德教育APP下载教程看这里就够了
尚德机构官网APP怎么下载?想要比别人更加抢先抢快的玩到这款应用,那么你获取官方应用消息是关键,......
日期:01-29
深圳:明年8月将实现5G基站全覆盖
12月2日消息 在深圳建设中国特色社会主义先行示范区“数字政府”高级别研讨会上,深圳市......
日期:12-02
二季度欧洲智能机出货量:小米三星增长 华为苹果下滑
智能手机市场分析显示,第二季度苹果在欧洲的出货量减少了130万部,同比下降了17%,而Android阵营的......
日期:08-13
谷歌Chrome浏览器Android版黑暗模式正式回归
12月20日消息 谷歌Chrome浏览器Android版现已迎来全新版本。除稳定性和性能方面的提升外,新版本还......
日期:12-20
客服系统哪家好?主流SaaS云客服系统功能全面对比!
1 前言 如今,深度信息化应用时代,企业信息应用生态已经不再局限OA、ERP,越来越多的企......
日期:05-22
电信1月份移动用户增速居首:有望年中超越联通成第二大运营商
近日,三大运营商相继公布了2019年第一个月的运营数据。 1月份,三大运营商都表现出了自己的实力。中国移动的宽带用户增...
日期:02-22
三大运营商停售达量限速套餐?联通移动称尚未接到通知
9月4日消息 近日有消息称,三大电信运营商将于9月1日起暂停达量限速套餐。...
日期:09-05