欢迎访问湖南省网络空间安全协会网站

湖南省网络空间安全协会

【安全通告】Apache Tomcat AJP协议文件读取与包含漏洞(CVE-2020-1938)

发布时间:2020-03-04 15:19 来源:未知

 漏洞概括  

 

2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。

 

Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前较为流行的Web应用服务器。由于Tomcat应用范围较广,因此本次通告的漏洞影响范围较大,请相关用户及时采取防护措施修复此漏洞。

 

02

  受影响版本 

 

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

 

不受影响版本

 

Apache Tomcat 7.0.100

Apache Tomcat 8.5.51

Apache Tomcat 9.0.31

 

03

   缓解措施(安全建议)  

 

1、升级至安全版本

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

 

版本号

下载地址

Apache Tomcat 7.0.100

http://tomcat.apache.org/download-70.cgi

Apache Tomcat 8.5.51

http://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.31

http://tomcat.apache.org/download-90.cgi

 

2、关闭AJP连接器,修改Tomcat的service.xml,注释掉 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />。或者禁止Tomcat 的 AJP端口对公网开放。