Tomcat CVE-2020-1938(CNVD-2020-10487) 漏洞复现

一、漏洞描述

Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,深受Java爱好者的喜爱,并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

二、影响版本

Apache Tomcat 6
Tomcat 7系列 <7.0.100
Tomcat 8系列 < 8.5.51
Tomcat 9 系列 <9.0.31

三、漏洞复现

这里使用的是vulhub的环境,看网上用的最多的payload是下面这个。
Payload

四、漏洞修复

目前,Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,CNVD建议用户尽快升级新版本或采取临时缓解措施:

  1. 如未使用Tomcat AJP协议:

如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。

具体操作:

(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

(2)将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新启动,规则方可生效。

  1. 如果使用了Tomcat AJP协议:

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

附:参考链接:

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

Tomcat CVE-2020-1938(CNVD-2020-10487) 漏洞复现相关推荐

  1. CVE(2017-15715、2021-41773、2021-40438)漏洞复现

    仅用于学习参考,不要贪玩哦(*^▽^*) 目录 CVE-2017-15715 漏洞介绍 漏洞复现 CVE-2021-41773 漏洞介绍 漏洞复现 CVE-2021-40438 漏洞介绍 漏洞复现 一 ...

  2. bat tomcat程序在后台执行_Web中间件漏洞之Tomcat篇

    1 Tomcat简介 Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试 JSP 程序的首选. ...

  3. CVE-2020-1938 Tomcat AJP漏洞复现

    0x00 简介 Tomcat在server.xml中配置有HTTP连接器和AJP连接器,AJP连接器可以通过AJP协议与另一个web容器进行交互.AJP协议是定向包协议,其使用端口为8009端口,为提 ...

  4. Tomcat漏洞复现

    目录 一.Tomcat任意文件读写漏洞(CVE-2017-12615) 1.漏洞描述 2.影响范围 3.漏洞分析 4.环境搭建 5.漏洞复现 二.Tomcat文件读取/文件包含漏洞(CVE-2020- ...

  5. Java安全-Tomcat AJP 文件包含漏洞(CVE-2020-1938)幽灵猫漏洞复现

    Tomcat AJP 文件包含漏洞(CVE-2020-1938) CVE-2020-1938 又名GhostCat ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含 ...

  6. cve-2017-12617 tomcat远程代码执行漏洞复现测试

    0x00前情提要 Apache Tomcat团队10月3日宣布,如果配置了默认servlet,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操 ...

  7. java怎么知道上传文件是否成功_文件包含漏洞之——tomcat CVE-2020-1938漏洞复现

    这个漏洞是今年2月份出现的,他的影响范围也是非常广的. 2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020- ...

  8. Tomcat Ajp(CVE-2020-1938) 漏洞复现与修复

    前言 2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938).该漏洞是由于Tomcat AJP协议存 ...

  9. 心音数据库_小V云端数据库 | 2020.9.14—2020.9.18

    桂花的芬芳 在雨后空气中弥散开来 似为湿润的情绪 赠予了一丝甜蜜 小V云端数据库 2020.9.14-2020.9.18 资讯情报关键词 健康.示范.安全 V宝体检,助力成长 2020年9月14日上午 ...

  10. 从ICLR 2020、AAAI 2020看对话系统近期研究进展

    ©PaperWeekly 原创 · 作者|王馨月 学校|四川大学本科生 研究方向|自然语言处理 本文盘点近期 ICLR 2020.AAAI 2020 上几篇对话系统相关的论文. ICLR 2020 论 ...

最新文章

  1. html css 隐藏和显示按钮
  2. nginx win 启动关闭_windows下Nginx启动、关闭、重启bat工具
  3. 关于:last-child的一点见解
  4. Jmeter工具笔记-Jmeter+influxdb+grafanas设置性能监控过程
  5. AtCoder AGC034D Manhattan Max Matching (费用流)
  6. ad域 禁用账号_IST-AD域信息同步平台来袭
  7. 一次代码优化实践,用了模板方法+策略+工厂方法模式
  8. 现代软件工程_团队项目_阿尔法阶段_现有功能汇总_2018.01.04
  9. java三种循环结构_Java的三种结构(循环结构)
  10. 【Java开发规范】禁止在 foreach 循环里进行元素的 remove/add 操作
  11. [转]MegCup2015初赛题
  12. .Net Compact Framework 高级篇(2)-- 扩展SOAP应用
  13. 一本shell编程书籍上的有bug的shell程序,看谁能找出问题所在。
  14. 神经网络学习小记录53——TF2搭建孪生神经网络(Siamese network)比较图片相似性
  15. 常用邮箱后缀总结,常用邮箱域名信息汇总
  16. 关于猎聘网投递简历后的“已储备”状态
  17. HTML——制作新闻网页
  18. Nico的刷题日记(一)
  19. JDK1.8下载与安装
  20. 组成原理-lab1难点之流水线

热门文章

  1. Excel如何动态获取某个产品最新的库存信息
  2. html中图片旋转木马,教你怎么用CSS3做一个图片的旋转木马效果
  3. 【学数据结构】-----串(顺序串、堆串、块链串)(7000字总结+代码+图)
  4. 编码通信与魔术初步(六)——经典魔术《傅氏幻术》赏析和《我的心灵感应》...
  5. 【python初学者日记】输入年份:判断是否闰年:闰年:yyyy是闰年,这年有366天;yyyy是平年,这年有365天
  6. 赴日软件工程师,据说很火
  7. what is CPU capacity-什么是CPU容量
  8. 携手强化「内容审核」能力,融云与数美科技达成战略合作
  9. 运维审计系统:堡垒机
  10. 信息化和信息系统知识点总结