[置頂]【漏洞預警】Apache Tomcat AJP協議文件讀取與包含漏洞

2020年2月20日,阿里云應急響應中心監測到CNVD披露 Apache Tomcat 服務器存在文件讀取與包含高危漏洞。

漏洞描述
国产视频app Apache Tomcat是由Apache軟件基金會屬下Jakarta項目開發的Servlet容器。默認情況下,Apache Tomcat會開啟AJP連接器,方便與其他Web服務器通過AJP協議進行交互。但Apache Tomcat在AJP協議的實現上存在漏洞,導致攻擊者可以通過發送惡意的AJP請求,可以讀取或者包含Web應用根目錄下的任意文件,如果存在文件上傳功能,將可以導致任意代碼執行。漏洞利用AJP服務端口實現攻擊,未開啟AJP服務對外不受漏洞影響(tomcat默認將AJP服務開啟并綁定至0.0.0.0)。阿里云應急響應中心提醒 Apache Tomcat用戶盡快排查AJP端口對外情況并采取安全措施阻止漏洞攻擊。

影響版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

安全版本
Apache Tomcat 7.0.100
Apache Tomcat 8.5.51
Apache Tomcat 9.0.31
安全建議

以下任意一種方法均可實現漏洞修復

1、升級至安全版本
2、關閉AJP連接器,修改Tomcat的service.xml,注釋掉 。或者禁止Tomcat 的 AJP端口對公網開放。
3、針對阿里云用戶,可使用安全組臨時禁止AJP服務端口(常見為8009端口)對外,阻止漏洞攻擊,類似如下:
安全組配置
相關鏈接:
http://tomcat.apache.org/security.html
http://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

針對面板上的解決方法:
1、更新Tomcat版本
国产视频app 2、刪除配置文件中的這行代碼

1
<Connector port="8008" protocol="AJP/1.3" redirectPort="8490" />

java項目管理

6

發表評論