學海無涯,旅“途”漫漫,“途”中小記,如有錯誤,敬請指出,在此拜謝!
一、前情提要
用了萬年的tomcat,出現了bug。2月21日,據國家信息安全漏洞共享平臺公開的漏洞公告中發現Apache Tomcat文件包含漏洞CNVD-2020-10487(對應CVE-2020-1938),Apache Tomcat服務器中被發現存在文件包含漏洞,攻擊者利用該漏洞,可在未授權的情況下遠程讀取特定目錄下的任意文件。
二、影響範圍
Tomcat 6.*
Tomcat 7.* < 7.0.100
Tomcat 8.* < 8.5.51
Tomcat 9.* < 9.0.31
三、處理方式
目前,Apache官方已發佈9.0.31、8.5.51及7.0.100版本對此漏洞進行修復,建議用戶儘快升級新版本或採取臨時緩解措施:
1.如未使用Tomcat AJP協議:
如未使用 Tomcat AJP 協議,可以直接將 Tomcat 升級到 9.0.31、8.5.51或 7.0.100 版本進行漏洞修復。
如無法立即進行版本更新、或者是更老版本的用戶,建議直接關閉AJPConnector,或將其監聽地址改爲僅監聽本機localhost。
具體操作:
(1)編輯 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 爲 Tomcat 的工作目錄):
<Connector port="8009"protocol=“AJP/1.3” redirectPort=“8443” />
(2)將此行註釋掉(也可刪掉該行):
(3)保存後需重新啓動,規則方可生效。
2. 如果使用了Tomcat AJP協議:
建議將Tomcat立即升級到9.0.31、8.5.51或7.0.100版本進行修復,同時爲AJP Connector配置secret來設置AJP協議的認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改爲一個安全性高、無法被輕易猜解的值):
<Connector port="8009"protocol=“AJP/1.3” redirectPort="8443"address=“YOUR_TOMCAT_IP_ADDRESS” secret=“YOUR_TOMCAT_AJP_SECRET”/>
如無法立即進行版本更新、或者是更老版本的用戶,建議爲AJPConnector配置requiredSecret來設置AJP協議認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改爲一個安全性高、無法被輕易猜解的值):
<Connector port="8009"protocol=“AJP/1.3” redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret=“YOUR_TOMCAT_AJP_SECRET” />
四、修改tomcat版本
1.SpringBoot升級內嵌tomcat版本
https://blog.csdn.net/qq_27808011/article/details/104492014
五、參考文檔
- https://www.cnvd.org.cn/webinfo/show/5415
- https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html
- https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html
- https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for