Apache Tomcat 文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)

漏洞详情

2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。

参考链接:

漏洞修复

具体操作:

(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

(2)将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新启动Tomcat,规则方可生效。

Apache Tomcat 文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)相关推荐

  1. Apache Tomcat 文件包含漏洞(CVE-2020-1938)

    安全公告编号:CNTA-2020-0004 2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020- ...

  2. Apache Tomcat文件包含漏洞(CNNVD-202002-1052、CVE-2020-1938)

    文章目录 [漏洞描述] 1,xml配置文件中的修复方法: 2,springboot对应方法: springboot开启AJP方法 开启了AJP的springboot如何升级内置tomcat版本 [漏洞 ...

  3. tomcat ajp协议安全限制绕过漏洞_Apache Tomcat文件包含漏洞(CVE20201938)复现

    一.漏洞背景2020年02月20日,国家信息安全漏洞共享平台(CNVD)发布了关于Apache Tomcat文件包含漏洞(CVE-2020-1938/CNVD-2020-10487)的安全公告.Tom ...

  4. tomcat ajp协议安全限制绕过漏洞_Apache tomcat 文件包含漏洞复现(CVE20201938)

    漏洞背景 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer ...

  5. Apache Tomcat 曝文件包含漏洞:攻击者可利用该漏洞读取webapp目录下的任意文件...

    点击上方蓝色"程序猿DD",选择"设为星标" 回复"资源"获取独家整理的学习资料! 作者 | oschina 来源 | https://ww ...

  6. Tomcat AJP 文件包含漏洞(CVE-2020-1938)

    目录 1.漏洞简介 2.AJP13 协议介绍 Tomcat 主要有两大功能: 3.Tomcat 远程文件包含漏洞分析 4.漏洞复现 5.漏洞分析 6.RCE 实现的原理 1.漏洞简介 2020 年 2 ...

  7. java怎么知道上传文件是否成功_文件包含漏洞之——tomcat CVE-2020-1938漏洞复现

    这个漏洞是今年2月份出现的,他的影响范围也是非常广的. 2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020- ...

  8. 【通告更新】Apache Tomcat服务器文件包含漏洞安全风险通告第三次更新

    近日,奇安信CERT监测到CNVD发布了漏洞公告,对应CNVD漏洞编号:CNVD-2020-10487.CVE漏洞编号:CVE-2020-1938.CNVD漏洞公告称Apache Tomcat服务器存 ...

  9. Java安全-Tomcat AJP 文件包含漏洞(CVE-2020-1938)幽灵猫漏洞复现

    Tomcat AJP 文件包含漏洞(CVE-2020-1938) CVE-2020-1938 又名GhostCat ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含 ...

  10. CVE-2020-1938 Aapache Tomcat AJP文件包含漏洞复现

    目录 一.环境搭建 1.下载vulhub 2.启动环境 二.漏洞复现 1.使用nmap扫描目标 2.运行POC验证漏洞 3.POC代码 三.修复方法 一.环境搭建 1.下载vulhub kali系统输 ...

最新文章

  1. 查看本地oracle密码,Oracle 本地验证和密码文件
  2. WPF 把图片分割成两份自动翻页 WpfFlipPageControl:CtrlBook 书控件
  3. transform 遇上 position: fixed
  4. BZOJ 2281 Luogu P2490 [SDOI2011]黑白棋 (博弈论、DP计数)
  5. 蛙泳如何找准背部发力的感觉
  6. java base64解码出错_Java Base64解码错误及解决方法
  7. 05_JS流程控制语句
  8. C++ assert() 详解
  9. Cat.5e/Cat.6系统测试要点和常见工程问题解答
  10. [Unity3d][NGUI]打包NGUI预制件成Assetbundle 两种思路.
  11. 发票勾选平台:验证口令失败--加密模块未打开(0x23) (错误代码:35)
  12. 优秀工程师必备的三大思维,你拥有哪些?
  13. Linux下新增、启动、删除系统服务常用命令
  14. 【工具DIY】DIY一个高精度电阻箱
  15. 微信文件撤回时间多长_微信消息怎么撤回?撤回时间限制是多久?
  16. 人迹罕至的android要完全退出程序的一种方法
  17. java基于springboot房产备案管理系统
  18. 根据离散点画直线,iOS离散点画曲线
  19. InVEST模型 | 02 InVEST模型Python安装
  20. 测试版本大全 (转)

热门文章

  1. ubi命令用法(linux)
  2. 【HDU 4699】Editor【栈】
  3. Nebula graph 源码 学习笔记
  4. 活出富有成效和充实的十年:让新的一年有个好开始的三条秘诀
  5. 工业物联网实践指南----专注生产制造活动
  6. [学习日志]UI如何与数据绑定?
  7. [系统安全] 逆向工程进阶篇之对抗逆向分析
  8. const char* std::string CString 之间的转换
  9. 在Word中方括号中打勾
  10. 时域OCT与频域OCT的区别