360Webscan

网站安全检测

Tomcat AJP3 文件读取/包含漏洞

Apache Tomcat服务器存在文件读取/包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat上所有 webapp 目录下的任意文件。

免费检测
造成的危害

Responsive image

Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。

Apache Tomcat服务器存在文件包含漏洞(CNVD-ID:CNVD-2020-10487,CVE ID:CVE-2020-1938,危害级别:高),是存在于 Tomcat 中的安全漏洞,由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。除此之外在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。

如何修复或缓解

1. 如未使用Tomcat AJP协议:

A:可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。

B:如无法立即进行版本更新、或更老版本的用户,建议直接关闭AJPConnector(或将其监听地址改为仅监听本机)。

具体操作:

(1)在 <Tomcat 的工作目录>/conf/server.xml中找到并注释(或删除)以下内容:

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

(2)保存后需重新启动,配置方可生效。

2. 如果使用了Tomcat AJP协议:

A:建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。

具体操作:

(1)在 <Tomcat 的工作目录>/conf/server.xml中找到以下内容,将YOUR_TOMCAT_AJP_SECRET更改成无法被轻易猜解的值:

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/ >

(2)保存后需重新启动,配置方可生效。

B: 如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。

(1)在 <Tomcat 的工作目录>/conf/server.xml中找到以下内容,将YOUR_TOMCAT_AJP_SECRET更改成无法被轻易猜解的值:

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

(2)保存后需重新启动,配置方可生效。

建议用户前往Tomcat官方链接下载使用:

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

Responsive image
如何发现

Responsive image

三六零云探

三六零云探安全监测系统是遵循360在总结多年市场经验和客户需求基础上提出的一款面向党政军、金融、教育和互联网用户的基于SaaS的网站应用安全监测服务产品,依赖于 360 安全大脑,以及 360 在搜索、终端 安全、网站安全等方面积累的数亿用户群和海量数据,可有效监测网站的异常,持续挖掘网 站风险,充分预警各类网站安全事件,为用户提供网站漏洞扫描、网页篡改监测、网页挂马 监测、黑词/暗链监测、可用性监测、仿冒/钓鱼网站监测、未知资产监测等安全监测服务。

立即咨询
云服务高可靠

云服务高可靠

全面多样

全面多样

监测可视化

监测可视化

闭环安全运营

闭环安全运营

快明稳全准

快明稳全准

疫情服务

360提供免费Web业务监测服务

疫情面前不退缩, 提供7*24小时100%准确率的风险告警,障网络安全。

为护航医疗单位、政府机构、防疫救灾部门及各大企事业单位网站稳定,2月3日起至疫情结束,三六零云探免费为企业网站提供安全监测服务。

免费检测
Responsive image
联系我们

请联系我们

如果您需要做应急处理或者对我们的产品有任何疑问(工作时间周一至周五9:00-18:00)