写点什么

Apache Tomcat 被曝重大漏洞,影响过去 13 年的所有版本

  • 2020-03-02
  • 本文字数:1039 字

    阅读完需:约 3 分钟

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本


近日,国内安全公司长亭科技披露一个在 Tomcat 中潜伏十多年的安全漏洞——Ghostcat (幽灵猫),其编号为CVE-2020-1938


据悉,Ghostcat(幽灵猫)由长亭科技安全研究员发现,它是存在于Tomcat中的安全漏洞。


由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。


Tomcat Connector 是 Tomcat 与外部连接的通道,它使得 Catalina 能够接收来自外部的请求,传递给对应的 Web 应用程序处理,并返回请求的响应结果。默认情况下,Tomcat 配置了两个 Connector,它们分别是 HTTP Connector 和 AJP Connector。


并且,在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

影响过去 13 年所有 Apache Tomcat 版本

众所周知,Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已有二十多年历史,在世界范围内被广泛使用。


据长亭科技官方介绍,这个漏洞影响全版本默认配置下的 Tomcat(已确认影响 Tomcat 9/8/7/6 全版本),这意味着 Ghostcat 在 Tomcat 中潜伏十多年。


“通过 Ghostcat 漏洞,攻击者可以读取 Tomcat 所有 webapp 目录下的任意文件。”长亭科技在博客上写道。


此外,如果网站应用提供文件上传的功能,攻击者能先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 Ghostcat 漏洞进行文件包含,从而达到代码执行的危害。


下列版本的 Tomcat 受 Ghostcat 漏洞影响:


  • Apache Tomcat 9.x < 9.0.31

  • Apache Tomcat 8.x < 8.5.51

  • Apache Tomcat 7.x < 7.0.100

  • Apache Tomcat 6.x

修复漏洞

长亭科技提示:对于处在漏洞影响版本范围内的 Tomcat 而言,若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下,即存在被 Ghostcat 漏洞利用的风险。


并且,Tomcat AJP Connector 默认配置下即为开启状态,且监听在 0.0.0.0:8009。


要正确修复 Ghostcat 漏洞,首先要确定服务器环境中是否有用到 Tomcat AJP 协议:


  • 如果未使用集群或反向代理,则基本上可以确定没有用到 AJP;

  • 如果使用了集群或反向代理,则需要看集群或反代服务器是否与 Tomcat 服务器 AJP 进行通信


早在 1 月初,长亭科技向 Apache Tomcat 官方提交漏洞。


目前,Tomcat 官方已经发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。因此,建议 Tomcat 用户尽快升级到最新版本。


2020-03-02 11:5510907
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 356.7 次阅读, 收获喜欢 1800 次。

关注

评论

发布
暂无评论
发现更多内容

阿里云对话 Tapdata:以秒级响应速度,为企业提供实时数据服务

tapdata

ETL 实时数据 DaaS 现代数据栈

多年缓慢成长,近3年野蛮狂飙,谁是这个赛道的王者?

ToB行业头条

架构实战营第 10 期 - 模块三作业:外包学生管理系统详细架构设计文档

kaizen

「架构实战营」

PM&PMO汇报工作的5大技巧,学会了让老板眼前一亮!

PMO实践

PMO 年终报告 年终总结 项目经理

32篇年度最佳AI论文;Python编译器Codon开源;ChatGPT的前世今生

OneFlow

人工智能 深度学习 大模型

软件测试面试真题 | 需求评审中从几个方面发现问题

测试人

软件测试 面试题 自动化测试 测试开发 需求评审

TSDB在油气田勘探开发领域的应用

CnosDB

IoT 时序数据库 开源社区 CnosDB infra

直播倒计时1天!“基于AIOps的全面可观测性网络研讨会”与你不见不散

博睿数据

根因分析 直播 智能运维 博睿数据

华为时习知,让企业培训更简单!

IT科技苏辞

SpringMVC还是Spring WebFlux?谁是下一代的Java程序员技术栈?

程序员小毕

Java spring 程序员 后端 springmvc

天翼云斩获2022全球分布式云大会两项大奖

天翼云开发者社区

新茶饮 200+ 门店优化库存成本,需要几个数据分析师?

Kyligence

数据分析 指标中台

重磅 | 九科信息成功入选中国交通建设集团财务云(RPA)项目

九科Ninetech

案例 | 九科信息为某大型科研单位设计财务系统科目预警RPA

九科Ninetech

功能上新|使用 Excel 低门槛进行指标分析!

Kyligence

数据分析 指标管理

软件测试面试真题 | web自动化关闭浏览器,quit()和close()的区别

测试人

软件测试 面试题 自动化测试 测试开发 web测试

PHP转Go之后,我又开始研究机器学习和自动驾驶了。

王中阳Go

自动驾驶 Apollo

小程序游戏的3大分发平台

FinFish

小程序 小游戏 小游戏运营

【从零开始学爬虫】采集全国高校导师数据

前嗅大数据

数据采集 爬虫教程 爬虫入门

内网穿透你真的了解吗?

C++后台开发

网络安全 NAT Linux服务器开发 内网 网络穿透

融云任杰:激活组织生命力 让听见炮火的人做决策 | TGO专访

融云 RongCloud

专访 程序员‘

5分钟搞懂Jenkins分布式架构

俞凡

架构 DevOps cicd 最佳实践

数字先锋| 药品信息何处有?尽在标识编码处

天翼云开发者社区

2022年中国第三方输入法发展分析

易观分析

报告 输入法 语音输入

数字先锋| 活起来、动起来、用起来!“海南模式”让数据要素发挥更大价值

天翼云开发者社区

安全可信| 安全与高效兼得?天翼云EasyCoding敏捷开发平台来了!

天翼云开发者社区

案例 | 九科信息久其报表RPA项目助力某大型央企财务部门提质增效

九科Ninetech

小数据治理靠“人工”,大数据治理靠“智能”

用友BIP

作为一个研发凭什么花大量时间修安全漏洞?

墨菲安全

安全 开发

MySQL分库分表,可能真的要退出历史舞台了!

Java永远的神

MySQL 程序员 后端 架构师 分布分表

外包学生管理系统架构文档

白杨

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本_安全_万佳_InfoQ精选文章