绿盟

香港正版挂牌

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

【防护方案】Apache Tomcat文件包含漏洞(CVE-2020-1938)

2020-02-20

 

一、综述

2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。

公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。

漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。通过向AJP协议端口(默认8009)发送精心构造的数据,可读取服务器webapp目录下的任意文件,比如配置文件、源代码等。而且如果服务器端有文件上传功能,那么还可能进一步实现远程代码的执行。

香港正版挂牌已在第一时间复现了利用该漏洞读取文件的过程,效果如下图所示:

此外,在服务器上存在上传点的情况下,复现了远程代码执行。

参考链接:

https://www.cnvd.org.cn/webinfo/show/5415

二、漏洞影响范围

  • Tomcat 6 (已不受维护)
  • Tomcat 7 Version < 7.0.100
  • Tomcat 8 Version < 8.5.51
  • Tomcat 9 Version < 9.0.31

三、影响排查

3.1 本地检测

通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。

如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。进入Tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。

    若当前版本在受影响范围内,则可能存在安全风险。

四、技术防护方案

4.1 官方修复方案

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:

Apache Tomcat 7.0.100 :http://tomcat.apache.org/download-70.cgi

Apache Tomcat 8.5.51 :http://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.31 :http://tomcat.apache.org/download-90.cgi

4.2 临时解决方案

如果相关用户暂时无法进行版本升级,可根据自身情况采用下列防护措施。

  • 若不需要使用Tomcat AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost。具体操作:

(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

(2)将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(3)保存后需重新启动Tomcat,规则方可生效。

  • 若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TO MCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TO MCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

4.3 香港正版挂牌检测防护建议

4.3.1 香港正版挂牌检测类产品与服务

1、资产可使用绿盟云紧急漏洞在线检测,检测地址如下:

手机端访问地址:

https://cloud.nsfocus.com/megi/holes/hole_ApacheTomcat_2020_02_20.html

PC端访问地址:https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1026

2、内网资产可以使用香港正版挂牌的远程安全评估系统(RSAS V6)、Web应用漏洞扫描系统(WVSS)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。

  • 远程安全评估系统(RSAS V6)系统插件

http://update.nsfocus.com/update/listRsasDetail/v/vulsys

  • 远程安全评估系统(RSAS V6)Web插件

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

  • Web应用漏洞扫描系统(WVSS)

http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

  • 入侵检测系统(IDS)

http://update.nsfocus.com/update/listIds

http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0

通过上述链接,升级至最新版本即可进行检测!

4.3.2 使用香港正版挂牌防护类产品进行防护

入侵防护系统(IPS)

http://update.nsfocus.com/update/listIps

通过上述链接,升级至最新版本即可进行防护!

4.3.3 检测防护产品升级包/规则版本号

检测产品 升级包/规则版本号
RSAS V6 系统插件包 V6.0R02F01.1709
RSAS V6 Web插件包 V6.0R02F00.1604
WVSSV6 插件包 V6.0R03F00.153
IDS 5.6.8.816、 5.6.9.21979、 5.6.10.21979
UTS 5.6.10.21979

注意:IDPS 569/5610和UTS设备,要检测该漏洞,需要将专业参数的UnknownDisableEncrypt开关置为否。

  • RSAS V6 系统插件包下载链接:

http://update.nsfocus.com/update/downloads/id/102566

  • RSAS V6 Web插件包下载链接:

http://update.nsfocus.com/update/downloads/id/102580

  • WVSSV6插件包下载链接:

http://update.nsfocus.com/update/downloads/id/102537

  • IDS 升级包下载链接:

5.6.8.816

http://update.nsfocus.com/update/downloads/id/102567

5.6.9.21979

http://update.nsfocus.com/update/downloads/id/102575

5.6.10.21979

http://update.nsfocus.com/update/downloads/id/102576

  • UTS 升级包下载链接:

http://update.nsfocus.com/update/downloads/id/102579

防护产品 升级包/规则版本号 规则编号
IPS 5.6.8.816、 5.6.9.21979、 5.6.10.21979 24719
  • IPS 升级包下载链接:

5.6.8.816

http://update.nsfocus.com/update/downloads/id/102567

5.6.9.21979

http://update.nsfocus.com/update/downloads/id/102575

5.6.10.21979

http://update.nsfocus.com/update/downloads/id/102576

4.3.4 安全平台

平台 升级包/规则版本号
ESP(绿盟企业安全平台解决方案) 利用规则升级包升级: ESP-EVENTRULE-004-20200221.dat
ESP-H(绿盟企业安全平台) 利用规则升级包升级: ESP-EVENTRULE-003-20200221.dat 或者ESP-EVENTRULE-004-20200221.dat
ISOP(绿盟智能安全运营平台) 利用规则升级包升级: attack_rule.1.0.0.0.204825.dat
TVM(绿盟威胁和漏洞安全管理平台) 2020022101
BSA(绿盟日志数据安全性分析系统) 2.0R00F05SP03 2.0R01F00SP03

五、附录A ·产品使用指南

$(".info_chag img").each(function () { $(this).css({ "max-width": "100%","height": "auto","display":"inline-block" }).parent().css({"text-align":"center"}); });

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入香港正版挂牌,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
香港正版挂牌社区
香港正版挂牌社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 香港正版挂牌 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号