回覆列表
-
1 # 阿福福福福福
-
2 # 平章芯事
漏洞是軟體無法避免的!
tomcat 這次漏洞不是什麼大問題,只不過是曾經的幾百個漏洞中的一個。
而且,這次的漏洞是ajp漏洞,是前面的apache httpd 連線 tomcat的一個內部協議。其實,現在這樣用的已經很少了。現在tomcat主要兩種使用方式:直接用 http協議提供服務;前端用nginx做負載均衡,後面tomcat還是用http。根本沒有ajp的位置,所以,沒必要大驚小怪。
這個漏洞最主要問題是:其實ajp協議預設是開啟的,監聽在8009埠,雖然你從不用,但他就是一直開著的。所以,可能很多人壓根沒注意到自己開著ajp。
其實,處理方法也很簡單:不用的,關掉就是了;要用的,限定一下訪問ip就是了。當然,還有終極大法:升級一下tomcat就好。
很小一件事,不知道為什麼這麼多人關注?!難道是疫情之下都閒的無聊嗎?!
國家資訊保安漏洞共享平臺(CNVD)近日釋出了一份關於 Apache Tomcat 存在檔案包含漏洞的安全,具體資訊如下:
安全公告編號:CNTA-2020-0004
2020 年 1 月 6 日,國家資訊保安漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現並報送的 Apache Tomcat 檔案包含漏洞(CNVD-2020-10487,對應 CVE-2020-1938)。攻擊者利用該漏洞,可在未授權的情況下遠端讀取特定目錄下的任意檔案。目前,漏洞細節尚未公開,廠商已釋出新版本完成漏洞修復。
一、漏洞情況分析
Tomcat 是 Apache 軟體基金會 Jakarta 專案中的一個核心專案,作為目前比較流行的 Web 應用伺服器,深受 Java 愛好者的喜愛,並得到了部分軟體開發商的認可。Tomcat 伺服器是一個免費的開放原始碼的 Web 應用伺服器,被普遍使用在輕量級 Web 應用服務的構架中。
2020 年 1 月 6 日,國家資訊保安漏洞共享平臺(CNVD)收錄了由北京長亭科技有限公司發現並報送的 Apache Tomcat 檔案包含漏洞。Tomcat AJP 協議由於存在實現缺陷導致相關引數可控,攻擊者利用該漏洞可透過構造特定引數,讀取伺服器 webapp 下的任意檔案。若伺服器端同時存在檔案上傳功能,攻擊者可進一步實現遠端程式碼的執行。
CNVD 對該漏洞的綜合評級為“高危”。
二、漏洞影響範圍
漏洞影響的產品版本包括:
Tomcat 6Tomcat 7Tomcat 8Tomcat 9CNVD 平臺對 Apache Tomcat AJP 協議在中國境內的分佈情況進行統計,結果顯示中國境內的 IP 數量約為 55.5 萬,透過技術檢測發現中國境內共有 43197 臺伺服器受此漏洞影響,影響比例約為 7.8%。
三、漏洞處置建議
目前,Apache 官方已釋出 9.0.31、8.5.51 及 7.0.100 版本對此漏洞進行修復,CNVD 建議使用者儘快升級新版本或採取臨時緩解措施:
1. 如未使用 Tomcat AJP 協議:
如未使用 Tomcat AJP 協議,可以直接將 Tomcat 升級到 9.0.31、8.5.51 或 7.0.100 版本進行漏洞修復。
如無法立即進行版本更新、或者是更老版本的使用者,建議直接關閉 AJPConnector,或將其監聽地址改為僅監聽本機 localhost。