2月22日消息 國(guó)家信息安全漏洞共享平臺(tái)(CNVD)近日發(fā)布了一份關(guān)于 Apache Tomcat 存在文件包含漏洞的安全公告，具體如下：

安全公告編號(hào)：CNTA-2020-0004

2020 年 1 月 6 日，國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了由北京長(zhǎng)亭科技有限公司發(fā)現(xiàn)并報(bào)送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487，對(duì)應(yīng) CVE-2020-1938)。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程讀取特定目錄下的任意文件。目前，漏洞細(xì)節(jié)尚未公開(kāi)，廠商已發(fā)布新版本完成漏洞修復(fù)。

一、漏洞情況分析

Tomcat 是 Apache 軟件基金會(huì) Jakarta 項(xiàng)目中的一個(gè)核心項(xiàng)目，作為目前比較流行的 Web 應(yīng)用服務(wù)器，深受 Java 愛(ài)好者的喜愛(ài)，并得到了部分軟件開(kāi)發(fā)商的認(rèn)可。Tomcat 服務(wù)器是一個(gè)免費(fèi)的開(kāi)放源代碼的 Web 應(yīng)用服務(wù)器，被普遍使用在輕量級(jí) Web 應(yīng)用服務(wù)的構(gòu)架中。

2020 年 1 月 6 日，國(guó)家信息安全漏洞共享平臺(tái)(CNVD)收錄了由北京長(zhǎng)亭科技有限公司發(fā)現(xiàn)并報(bào)送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 協(xié)議由于存在實(shí)現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控，攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù)，讀取服務(wù)器 webapp 下的任意文件。若服務(wù)器端同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼的執(zhí)行。

CNVD 對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。

二、漏洞影響范圍

漏洞影響的產(chǎn)品版本包括：

Tomcat 6

Tomcat 7

Tomcat 8

Tomcat 9

CNVD 平臺(tái)對(duì) Apache Tomcat AJP 協(xié)議在我國(guó)境內(nèi)的分布情況進(jìn)行統(tǒng)計(jì)，結(jié)果顯示我國(guó)境內(nèi)的 IP 數(shù)量約為 55.5 萬(wàn)，通過(guò)技術(shù)檢測(cè)發(fā)現(xiàn)我國(guó)境內(nèi)共有 43197 臺(tái)服務(wù)器受此漏洞影響，影響比例約為 7.8%。

三、漏洞處置建議

據(jù)了解，目前，Apache 官方已發(fā)布 9.0.31、8.5.51 及 7.0.100 版本對(duì)此漏洞進(jìn)行修復(fù)，CNVD 建議用戶盡快升級(jí)新版本或采取臨時(shí)緩解措施：

1. 如未使用 Tomcat AJP 協(xié)議：

如未使用 Tomcat AJP 協(xié)議，可以直接將 Tomcat 升級(jí)到 9.0.31、8.5.51 或 7.0.100 版本進(jìn)行漏洞修復(fù)。

如無(wú)法立即進(jìn)行版本更新、或者是更老版本的用戶，建議直接關(guān)閉 AJPConnector，或?qū)⑵浔O(jiān)聽(tīng)地址改為僅監(jiān)聽(tīng)本機(jī) localhost。

具體操作：

2. 如果使用了 Tomcat AJP 協(xié)議：

建議將 Tomcat 立即升級(jí)到 9.0.31、8.5.51 或 7.0.100 版本進(jìn)行修復(fù)，同時(shí)為 AJP Connector 配置 secret 來(lái)設(shè)置 AJP 協(xié)議的認(rèn)證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個(gè)安全性高、無(wú)法被輕易猜解的值)：

另外，如無(wú)法立即進(jìn)行版本更新、或者是更老版本的用戶，建議為 AJPConnector 配置 requiredSecret 來(lái)設(shè)置 AJP 協(xié)議認(rèn)證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個(gè)安全性高、無(wú)法被輕易猜解的值)：

責(zé)編：連麗敏

總結(jié)

以上是生活随笔為你收集整理的tomcat ajp协议安全限制绕过漏洞_国家信息安全漏洞共享平台发布Apache Tomcat漏洞安全公告...的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。