写点什么

Apache Tomcat 被曝重大漏洞,影响过去 13 年的所有版本

  • 2020-03-02
  • 本文字数:1039 字

    阅读完需:约 3 分钟

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本


近日,国内安全公司长亭科技披露一个在 Tomcat 中潜伏十多年的安全漏洞——Ghostcat (幽灵猫),其编号为CVE-2020-1938


据悉,Ghostcat(幽灵猫)由长亭科技安全研究员发现,它是存在于Tomcat中的安全漏洞。


由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。


Tomcat Connector 是 Tomcat 与外部连接的通道,它使得 Catalina 能够接收来自外部的请求,传递给对应的 Web 应用程序处理,并返回请求的响应结果。默认情况下,Tomcat 配置了两个 Connector,它们分别是 HTTP Connector 和 AJP Connector。


并且,在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

影响过去 13 年所有 Apache Tomcat 版本

众所周知,Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已有二十多年历史,在世界范围内被广泛使用。


据长亭科技官方介绍,这个漏洞影响全版本默认配置下的 Tomcat(已确认影响 Tomcat 9/8/7/6 全版本),这意味着 Ghostcat 在 Tomcat 中潜伏十多年。


“通过 Ghostcat 漏洞,攻击者可以读取 Tomcat 所有 webapp 目录下的任意文件。”长亭科技在博客上写道。


此外,如果网站应用提供文件上传的功能,攻击者能先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 Ghostcat 漏洞进行文件包含,从而达到代码执行的危害。


下列版本的 Tomcat 受 Ghostcat 漏洞影响:


  • Apache Tomcat 9.x < 9.0.31

  • Apache Tomcat 8.x < 8.5.51

  • Apache Tomcat 7.x < 7.0.100

  • Apache Tomcat 6.x

修复漏洞

长亭科技提示:对于处在漏洞影响版本范围内的 Tomcat 而言,若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下,即存在被 Ghostcat 漏洞利用的风险。


并且,Tomcat AJP Connector 默认配置下即为开启状态,且监听在 0.0.0.0:8009。


要正确修复 Ghostcat 漏洞,首先要确定服务器环境中是否有用到 Tomcat AJP 协议:


  • 如果未使用集群或反向代理,则基本上可以确定没有用到 AJP;

  • 如果使用了集群或反向代理,则需要看集群或反代服务器是否与 Tomcat 服务器 AJP 进行通信


早在 1 月初,长亭科技向 Apache Tomcat 官方提交漏洞。


目前,Tomcat 官方已经发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。因此,建议 Tomcat 用户尽快升级到最新版本。


2020-03-02 11:5511001
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 367.3 次阅读, 收获喜欢 1802 次。

关注

评论

发布
暂无评论
发现更多内容

中东、新加坡资本来华“淘宝”,AI、新能源成追逐赛道

TE智库

新能源 能源经济

使用 WebGL 为 HTML5 游戏创建逼真的地形

3D建模设计

WebGL 地形

企业大数据传输的四类方式及镭速解决方案

镭速

大数据传输

Linux 可执行文件瘦身指令 strip 使用示例

互联网工科生

Linux 资源

你折腾一天都装不上的插件,函数计算部署 Stable Diffusion 都内置了

Serverless Devs

Serverless 模型

解锁项目管理神器——低代码开发平台

力软低代码开发平台

OpenAI 函数调用教程

3D建模设计

openai ChatGPT

国际顶会SC23收录唯一区块链论文,微众银行技术实力受学术界认可

新消费日报

亚信科技AntDB数据库携“U8C+AntDB联合产品”亮相“2023全球商业创新大会”,开启生态合作新篇章

亚信AntDB数据库

数据库 AntDB AntDB数据库

数据库顶会 VLDB 2023 论文解读:字节跳动如何解决超大规模流式任务运维难题

字节跳动云原生计算

flink 流式计算 VLDB

文心一言 VS 讯飞星火 VS chatgpt (87)-- 算法导论8.2 4题

福大大架构师每日一题

福大大架构师每日一题

“银河护卫队总部”放大招!Milvus 核心组件再升级,主打就是一个低延迟、高准确度

Zilliz

非结构化数据 Milvus Zilliz 向量数据库

人工智能的优势:使用 GPT 和扩散模型生成图像

3D建模设计

人工智能 生成式AI

安全大文件传输对行业重要性

镭速

大文件传输 传输大文件 安全大文件传输

Python 套接字编程完整指南

3D建模设计

Python

选择正确的框架:探索 Spring Cloud 和 Dubbo

Liam

程序员 微服务 Spring Cloud dubbo 后端

Zookeeper简述

数新网络官方账号

zookeeper 后端 ZooKeeper原理

Solr数据迁移ES

腾讯云大数据

ES

Masks Person面具人MAR现在值得参与吗

币离海

three.js 纹理

3D建模设计

three.js 纹理处理

木鱼一敲烦恼丢掉,一个恢复内心平静的赛博空间

荣耀开发者服务平台

小程序 前端 安卓 组件 服务卡片

通过一流的NFT开发提升您的数字形象

区块链软件开发推广运营

数字藏品开发 dapp开发 区块链开发 链游开发 NFT开发

2023年中国信通院铸基计划“文本图像篡改检测系统技术规范”研讨会成功召开

合合技术团队

中国信通院 文本 合合信息 研讨会 图像篡改

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本_安全_万佳_InfoQ精选文章