AICon 上海站|90%日程已就绪,解锁Al未来! 了解详情
写点什么

Apache Tomcat 被曝重大漏洞,影响过去 13 年的所有版本

  • 2020-03-02
  • 本文字数:1039 字

    阅读完需:约 3 分钟

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本


近日,国内安全公司长亭科技披露一个在 Tomcat 中潜伏十多年的安全漏洞——Ghostcat (幽灵猫),其编号为CVE-2020-1938


据悉,Ghostcat(幽灵猫)由长亭科技安全研究员发现,它是存在于Tomcat中的安全漏洞。


由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。


Tomcat Connector 是 Tomcat 与外部连接的通道,它使得 Catalina 能够接收来自外部的请求,传递给对应的 Web 应用程序处理,并返回请求的响应结果。默认情况下,Tomcat 配置了两个 Connector,它们分别是 HTTP Connector 和 AJP Connector。


并且,在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

影响过去 13 年所有 Apache Tomcat 版本

众所周知,Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已有二十多年历史,在世界范围内被广泛使用。


据长亭科技官方介绍,这个漏洞影响全版本默认配置下的 Tomcat(已确认影响 Tomcat 9/8/7/6 全版本),这意味着 Ghostcat 在 Tomcat 中潜伏十多年。


“通过 Ghostcat 漏洞,攻击者可以读取 Tomcat 所有 webapp 目录下的任意文件。”长亭科技在博客上写道。


此外,如果网站应用提供文件上传的功能,攻击者能先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 Ghostcat 漏洞进行文件包含,从而达到代码执行的危害。


下列版本的 Tomcat 受 Ghostcat 漏洞影响:


  • Apache Tomcat 9.x < 9.0.31

  • Apache Tomcat 8.x < 8.5.51

  • Apache Tomcat 7.x < 7.0.100

  • Apache Tomcat 6.x

修复漏洞

长亭科技提示:对于处在漏洞影响版本范围内的 Tomcat 而言,若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下,即存在被 Ghostcat 漏洞利用的风险。


并且,Tomcat AJP Connector 默认配置下即为开启状态,且监听在 0.0.0.0:8009。


要正确修复 Ghostcat 漏洞,首先要确定服务器环境中是否有用到 Tomcat AJP 协议:


  • 如果未使用集群或反向代理,则基本上可以确定没有用到 AJP;

  • 如果使用了集群或反向代理,则需要看集群或反代服务器是否与 Tomcat 服务器 AJP 进行通信


早在 1 月初,长亭科技向 Apache Tomcat 官方提交漏洞。


目前,Tomcat 官方已经发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。因此,建议 Tomcat 用户尽快升级到最新版本。


2020-03-02 11:5511026
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 369.4 次阅读, 收获喜欢 1803 次。

关注

评论

发布
暂无评论
发现更多内容

堡垒机重要吗?为什么?求解!

行云管家

堡垒机 安全运维 录像审计

单点登录的三种实现方式

Authing

SSO 单点登录

圣邦股份:品类持续深挖,高端加速推进,模拟龙头稳健发展

华秋电子

重新思考流处理与流数据库

吴英骏

开源 云原生 流处理 ​Rust 实时数据库

大型 3D 互动开发和优化实践 | 京东云技术团队

京东科技开发者

游戏 3D 企业号 6 月 PK 榜 互动游戏

简洁实用的文本编辑器:FSNotes中文版

真大的脸盆

Mac Mac 软件 文本编辑器 文本管理 文本处理工具

我又和redis超时杠上了

蓝胖子的编程梦

redis 性能分析 云服务器 线上事故 接口超时

强化学习基础篇【1】:基础知识点、马尔科夫决策过程、蒙特卡洛策略梯度定理、REINFORCE 算法

汀丶人工智能

人工智能 深度学习 强化学习

人工智能工程总体介绍

紫晖

人工智能 软件工程 数据开发

客服都要下岗了? 当ChatGPT遇见私有数据,秒变AI智能客服!

BeeWorks

rocketmq4 docker安装 阿里云linux2(centos7)

folo

Docker centos RocketMQ部署

TiDB数据迁移实践DM工具

TiDB 社区干货传送门

迁移 实践案例

世界500强开滦集团的财务共享建设路径

用友BIP

财务共享

让AI无处不在!Intel拿出全新VPU:超高能效碾压GPU

E科讯

玩转服务器之应用篇:从零开始构建小型高可用环境

京东科技开发者

高可用 云主机 云服务器 企业号 6 月 PK 榜

【5.26-6.02】写作社区优秀技术博文一览

InfoQ写作社区官方

热门活动 优质创作周报

含有CPU芯片的PCB设计需要考虑的五个主要方面

华秋电子

手把手实践丨基于STM32+华为云设计的智慧烟感系统

华为云开发者联盟

云计算 华为云 华为云开发者联盟 企业号 6 月 PK 榜

亿级大表毫秒关联,荔枝微课基于腾讯云数据仓库Doris的统一实时数仓建设实践

科技热闻

CodeWhisperer 初体验

天黑黑

AI 亚马逊云 CodeWhisperer

一次网络请求中的流量分发过程 | 京东云技术团队

京东科技开发者

数据传输 企业号 6 月 PK 榜 流量分发 网络请求

这本数智平台白皮书讲透了大型企业数智化升级业务痛点

用友BIP

白皮书 数智底座 数智平台 平台白皮书 数智化转型白皮书

TiDB 落地SAS机器实践

TiDB 社区干货传送门

实践案例 应用适配 HTAP 场景实践

行云堡垒V7亮点有哪些?具体看这里!

行云管家

IT运维 行云堡垒

一文读懂责任分配矩阵,解决你80%的项目难题

敏捷开发

项目管理 Scrum 敏捷开发 责任分配矩阵 RACI矩阵

复杂Flink任务Task均衡调度和优化措施

Openlab_cosmoplat

大数据

BFF层聚合查询服务异步改造及治理实践 | 京东云技术团队

京东科技开发者

优化技巧 企业号 6 月 PK 榜 BFF层 异步优化

强化学习基础篇[2]:SARSA、Q-learning算法简介、应用举例、优缺点

汀丶人工智能

人工智能 深度学习 强化学习

TiDB集群数据库灾难恢复手册

TiDB 社区干货传送门

管理与运维 备份 & 恢复

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本_安全_万佳_InfoQ精选文章