Tomcat被曝重大漏洞,影響過去 13 年的所有版本

一、漏洞背景

近日,國內安全公司長亭科技披露一個在 Tomcat 中潛伏十多年的安全漏洞——Ghostcat (幽靈貓),其編號爲 CVE-2020-1938 。

據悉,Ghostcat(幽靈貓)由長亭科技安全研究員發現,它是存在於 Tomcat 中的安全漏洞。

由於 Tomcat AJP 協議設計上存在缺陷,攻擊者通過 Tomcat AJP Connector 可以讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件,例如可以讀取 webapp 配置文件或源代碼。

Tomcat Connector 是 Tomcat 與外部連接的通道,它使得 Catalina 能夠接收來自外部的請求,傳遞給對應的 Web 應用程序處理,並返回請求的響應結果。默認情況下,Tomcat 配置了兩個 Connector,它們分別是 HTTP Connector 和 AJP Connector。

安全公告編號:CNTA-2020-0004

2020年02月20日, 360CERT 監測發現 國家信息安全漏洞共享平臺(CNVD) 收錄了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。

CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻擊者可利用該高危漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件,如:webapp 配置文件或源代碼等

受影響的版本包括:Tomcat 6,Tomcat 7的7.0.100以下版本,Tomcat 8的8.5.51以下版本,Tomcat 9的9.0.31以下版本。

CNVD 對該漏洞的綜合評級爲“高危”。

二、影響版本

1、Apache Tomcat 9.x < 9.0.31
2、Apache Tomcat 8.x < 8.5.51
3、Apache Tomcat 7.x < 7.0.100
4、Apache Tomcat 6.x

三、漏洞分析

3.1 AJP Connector

3.2 代碼分析

3.3 任意文件讀取

3.4 命令執行

四、修復建議

長亭科技提示:對於處在漏洞影響版本範圍內的 Tomcat 而言,若其開啓 AJP Connector 且攻擊者能夠訪問 AJP Connector 服務端口的情況下,即存在被 Ghostcat 漏洞利用的風險。

並且,Tomcat AJP Connector 默認配置下即爲開啓狀態,且監聽在 0.0.0.0:8009。

要正確修復 Ghostcat 漏洞,首先要確定服務器環境中是否有用到 Tomcat AJP 協議:

如果未使用集羣或反向代理,則基本上可以確定沒有用到 AJP;

如果使用了集羣或反向代理,則需要看集羣或反代服務器是否與 Tomcat 服務器 AJP 進行通信

早在 1 月初,長亭科技向 Apache Tomcat 官方提交漏洞。

目前,Tomcat 官方已經發布 9.0.31、8.5.51 及 7.0.100 版本針對此漏洞進行修復。因此,建議 Tomcat 用戶儘快升級到最新版本。

Tomcat 分支版本號
Tomcat 7 7.0.0100
Tomcat 8 8.5.51
Tomcat 9 9.0.31

下載鏈接如下:

7.0.100版本:https://tomcat.apache.org/download-70.cgi

8.5.51版本:https://tomcat.apache.org/download-80.cgi

9.0.31版本 https://tomcat.apache.org/download-90.cgi

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章