您的位置:首頁>>移動互聯

國家信息安全漏洞共享平臺發布Apache Tomcat漏洞安全公告

發布時間:2020-02-22 09:24:56  來源:IT之家    背景:

  2月22日消息 國家信息安全漏洞共享平臺(CNVD)近日發布了一份關于 Apache Tomcat 存在文件包含漏洞的安全公告,具體如下:

image.png

  安全公告編號:CNTA-2020-0004

  2020 年 1 月 6 日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現并報送的 Apache Tomcat 文件包含漏洞(CNVD-2020-10487,對應 CVE-2020-1938)。攻擊者利用該漏洞,可在未授權的情況下遠程讀取特定目錄下的任意文件。目前,漏洞細節尚未公開,廠商已發布新版本完成漏洞修復。

  一、漏洞情況分析

  Tomcat 是 Apache 軟件基金會 Jakarta 項目中的一個核心項目,作為目前比較流行的 Web 應用服務器,深受 Java 愛好者的喜愛,并得到了部分軟件開發商的認可。Tomcat 服務器是一個免費的開放源代碼的 Web 應用服務器,被普遍使用在輕量級 Web 應用服務的構架中。

  2020 年 1 月 6 日,國家信息安全漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現并報送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 協議由于存在實現缺陷導致相關參數可控,攻擊者利用該漏洞可通過構造特定參數,讀取服務器 webapp 下的任意文件。若服務器端同時存在文件上傳功能,攻擊者可進一步實現遠程代碼的執行。

  CNVD 對該漏洞的綜合評級為“高危”。

  二、漏洞影響范圍

  漏洞影響的產品版本包括:

  Tomcat 6

  Tomcat 7

  Tomcat 8

  Tomcat 9

  CNVD 平臺對 Apache Tomcat AJP 協議在我國境內的分布情況進行統計,結果顯示我國境內的 IP 數量約為 55.5 萬,通過技術檢測發現我國境內共有 43197 臺服務器受此漏洞影響,影響比例約為 7.8%。

  三、漏洞處置建議

  目前,Apache 官方已發布 9.0.31、8.5.51 及 7.0.100 版本對此漏洞進行修復,CNVD 建議用戶盡快升級新版本或采取臨時緩解措施:

  1. 如未使用 Tomcat AJP 協議:

  如未使用 Tomcat AJP 協議,可以直接將 Tomcat 升級到 9.0.31、8.5.51 或 7.0.100 版本進行漏洞修復。

  如無法立即進行版本更新、或者是更老版本的用戶,建議直接關閉 AJPConnector,或將其監聽地址改為僅監聽本機 localhost。

  具體操作:

  (1)編輯/conf/server.xml,找到如下行(為 Tomcat 的工作目錄):

  (2)將此行注釋掉(也可刪掉該行):

  (3)保存后需重新啟動,規則方可生效。

  2. 如果使用了 Tomcat AJP 協議:

  建議將 Tomcat 立即升級到 9.0.31、8.5.51 或 7.0.100 版本進行修復,同時為 AJP Connector 配置 secret 來設置 AJP 協議的認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值)

  如無法立即進行版本更新、或者是更老版本的用戶,建議為 AJPConnector 配置 requiredSecret 來設置 AJP 協議認證憑證。例如(注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值):

特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。


返回網站首頁 本文來源:IT之家

本文評論
嗶哩嗶哩TV版如何安裝到電視上?當貝市場幾步搞定
很多二次元愛好者或年輕群體喜歡觀看B站內容,但是小屏手機哪比得上大屏電視?現在嗶哩嗶哩也有TV版你...
日期:02-25
天翼云遠程醫療為重癥患者開通24小時“生命快線”
新冠肺炎重癥、危癥患者發病過程短,對重癥、危癥患者集中收治并及時集中優質醫療資源全力救治是降...
日期:02-25
杰和科技無人值守技術再升級,JAHC3.0新功能解析
JAHC是杰和科技經過多年技術積累,結合行業需求自主研發的一套高可靠無人值守系統。該系統能夠在設...
日期:02-25
事務0丟失,華為云數據庫MySQL是如何做到的?
隨著數據上云進程的加快,越來越多企業愿意把云下數據庫搬到云上,同時對云上數據庫的要求也越來越...
日期:02-25
可信云安全認證 金山云應急物資管理系統2.0全新上線,支持捐贈物跟蹤
在新冠肺炎疫情的防控阻擊戰中,科技抗疫開始嶄露頭角,并逐漸發揮了越來越重要的作用。為解決抗疫...
日期:02-25
嵌入式BI案例:生產設備監控中心對接西門子系統,數據可視化助力智能工廠
近日,北京某工業系統集成商采用西安葡萄城自主研發的嵌入式商業智能和報表軟件Wyn Enterprise對接...
日期:02-24
好視通云視頻會議為孝感市教育信息化插上騰飛的翅膀!
今年恰逢新冠病毒全國爆發,湖北省孝感市作為全國第二重災區,孝感市教育局敏銳地意識到疫情的爆發...
日期:02-24
百度地圖推出復工地圖,周邊超市、餐飲、理發等民生小店營業時間速查
隨著多地政府推動企業復工復產,在疫情較輕的地區,一些涉及民生所需的商店和場所已逐步恢復營業。...
日期:02-24
抗“疫”進行時——迪普科技保障醫療信息系統穩定運行
抗“疫” ,省人在行動
  浙江省人民醫院成立于1984年,是集醫療、科研、教學、預...
日期:02-24
騰訊優圖攻克口罩識別難題,口罩佩戴識別準確率超過99%
隨著對抗新冠疫情的戰役正式打響,口罩對控制疫情起到了相當關鍵的作用,但全民佩戴口罩也對諸如高...
日期:02-24
《宅草莓:hi,我也在線》怎么看?分享線上草莓音樂節觀看教程
隨著病毒的持續蔓延,很多線下音樂會、音樂節都紛紛延后或者取消演出,對于很多粉絲而言,已經購買的演...
日期:02-24
滿足抗擊疫情小程序數據需求 友盟+推出小程序統計
疫情當前,全民積極響應國家抗擊新冠肺炎疫情的號召,許多企業及機構為了快速滿足用戶激增的線上“...
日期:02-21
深入統籌科技資源 平安科技構筑科技防疫線
近日,全國各個地區陸續開始復工復產,疫情防范也進入了一個不能放松的新階段??萍计髽I作為防疫的...
日期:02-21
蘇寧紅孩子健康學堂 48場專家直播熱度突破500萬
2月1日至2月28日,蘇寧傾情打造了紅孩子健康學堂,由國內頂尖兒童專家組成的專家團,每天通過蘇寧直...
日期:02-21
“幽靈貓”浮現網絡空間,長亭科技曝Tomcat高危漏洞威脅
日前,長亭科技安全研究人員全球首次發現了一個存在于流行服務器 Apache Tomcat 中的文件讀取/包含...
日期:02-21
官方緊急通知:不得一刀切禁止取件和投遞 全面恢復投遞秩序
疫情來襲非常期間,保證安全的最好辦法就是盡量減少外出機會,所以快遞小哥就成為了許多人少出門的...
日期:02-21
宅家期間遇投資、貸款騙局?騰訊手機管家助力手機信息財產安全
宅家期間接到陌生人電話你會怎么辦,是不是比平時更傾向于和對方聊兩句?小店老板王女士便接到了陌生...
日期:02-21
百度地圖推出全景看武漢、云旅游服務,以AI之名堅定抗疫信念
這個冬天,突如其來的新冠肺炎疫情讓全國人民的心都與武漢緊緊聯系起來。這座最早被鐘南山院士稱為&ldqu...
日期:02-20
美國 Dish 運營商宣布 5G 網絡將采用 open RAN 架構
據外媒報道,美國有線電視運營商Dish Network董事長Charlie Ergen透露,該公司將在未來的5G網絡中使...
日期:02-20
  專欄介紹
半斤 的專欄
半斤發表的文章
積分:
自我介紹 :
神机策配资