2月22日消息 國家信息安全漏洞共享平臺(CNVD)近日發布了一份關于 Apache Tomcat 存在文件包含漏洞的安全公告,具體如下:
安全公告編號:CNTA-2020-0004
2020 年 1 月 6 日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現并報送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,對應 CVE-2020-1938)。攻擊者利用該漏洞,可在未授權的情況下遠程讀取特定目錄下的任意文件。目前,漏洞細節尚未公開,廠商已發布新版本完成漏洞修復。
一、漏洞情況分析
Tomcat 是 Apache 軟件基金會 Jakarta 項目中的一個核心項目,作為目前比較流行的 Web 應用服務器,深受 Java 愛好者的喜愛,并得到了部分軟件開發商的認可。Tomcat 服務器是一個免費的開放源代碼的 Web 應用服務器,被普遍使用在輕量級 Web 應用服務的構架中。
2020 年 1 月 6 日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現并報送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 協議由于存在實現缺陷導致相關參數可控,攻擊者利用該漏洞可通過構造特定參數,讀取服務器 webapp 下的任意文件。若服務器端同時存在文件上傳功能,攻擊者可進一步實現遠程代碼的執行。
CNVD 對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響的產品版本包括:
Tomcat 6
Tomcat 7
Tomcat 8
Tomcat 9
CNVD 平臺對 Apache Tomcat AJP 協議在我國境內的分布情況進行統計,結果顯示我國境內的 IP 數量約為 55.5 萬,通過技術檢測發現我國境內共有 43197 臺服務器受此漏洞影響,影響比例約為 7.8%。
三、漏洞處置建議
目前,Apache 官方已發布 9.0.31、8.5.51 及 7.0.100 版本對此漏洞進行修復,CNVD 建議用戶盡快升級新版本或采取臨時緩解措施:
1. 如未使用 Tomcat AJP 協議:
如未使用 Tomcat AJP 協議,可以直接將 Tomcat 升級到 9.0.31、8.5.51 或 7.0.100 版本進行漏洞修復。
如無法立即進行版本更新、或者是更老版本的用戶,建議直接關閉 AJPConnector,或將其監聽地址改為僅監聽本機 localhost。
具體操作:
(1)編輯/conf/server.xml,找到如下行(為 Tomcat 的工作目錄):
(2)將此行注釋掉(也可刪掉該行):
(3)保存后需重新啟動,規則方可生效。
2. 如果使用了 Tomcat AJP 協議:
建議將 Tomcat 立即升級到 9.0.31、8.5.51 或 7.0.100 版本進行修復,同時為 AJP Connector 配置 secret 來設置 AJP 協議的認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值)
如無法立即進行版本更新、或者是更老版本的用戶,建議為 AJPConnector 配置 requiredSecret 來設置 AJP 協議認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值):
