漏洞原理:

Tomcat 配置了两个 Connector,它们分别是 HTTP 和 AJP :HTTP 默认端口为 8080,处理 http 请求,而 AJP 默认端口 8009,用于处理 AJP 协议的请求,而 AJP 比 http 更加优化,多用于反向、集群等,漏洞由于 Tomcat AJP 协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器 webapp 下的任意文件以及可以包含任意文件,如果有某上传点,上传图片马等等,即可以获取 shell。

tomcat运行原理图:

漏洞版本: Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31漏洞利用: https://github.com/0nise/CVE-2020-1938 https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-ajp-POC https://github.com/Kit4y/CNVD-2020-10487-Tomcat-Ajp-lfi-Scanner https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/  

漏洞修复(官方方案):

1. 如未使用 Tomcat AJP 协议:

如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭 AJPConnector,或将其监听地址改为仅监听本机 localhost。

具体操作:

(1)编辑 /conf/server.xml,找到如下行( 为 Tomcat 的工作目录):

(2)将此行注释掉(也可删掉该行)

(3)保存后需重新启动,规则方可生效。

2. 如果使用了 Tomcat AJP 协议:

建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复,同时为 AJP Connector 配置 secret 来设置 AJP 协议的认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值):

如无法立即进行版本更新、或者是更老版本的用户,建议为 AJPConnector 配置 requiredSecret 来设置 AJP 协议认证凭证。例如(注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值):

思考:

tomcat的这个漏洞感觉就是伪装成为正常的服务执行不正常的操作,加上认证凭证以后服务内部之间要先对“暗号”才能服务,“假服务”没有暗号所以不能执行任何操作,漏洞被解决。

 

推荐链接

评论可见,请评论后查看内容,谢谢!!!评论后请刷新页面。

大家都在找:

tomcat:tomcat一闪而过怎么解决

java:java下载

spring:英语spring festival手抄报

spring boot:spring boots

spring cloud:spring cloud核心组件

servlet:servlet程序的入口点是

大家都在看: