关于Tomcat最新安全漏洞说明及解决方案
漏洞名称:Apache Tomcat 文件包含漏洞(CVE-2020-1938)
发现时间:2020年2月
漏洞原理:Tomcat使用的AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。
可导致如下问题:
1. 泄露公司项目源码
2. 泄露数据库账号密码进而完全操作数据库
3. 攻击者可上传WEBSHELL完全控制整个服务器
解决方案:
1. 如不使用Tomcat AJP协议,可直接关闭AJP Connector
具体操作:
1) 编辑 Tomcat目录下的/l,到如下行(端口不一定是8009或8443需根据自己项目具体情况自行确定):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
2) 将此行注释掉(也可删掉该行):
3) 保存后需重新启动Tomcat,即可生效。
2. 如必须使用Tomcat AJP协议,需要根据自己项目使用的tomcat大版本升级到对应的最新安全版本7.0.100、8.5.51、9.0.31
受影响版本
∙ Apache Tomcat 6
∙ Apache Tomcat 7 < 7.0.100
∙ Apache Tomcat 8 < 8.5.51
∙ Apache Tomcat 9 < 9.0.31
不受影响版本
∙ Apache Tomcat = 7.0.100
∙ Apache Tomcat = 8.5.51
∙ Apache Tomcat = 9.0.31
spring framework rce漏洞复现
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论