2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告(CNVD-2020-10487,对应CVE-2020-1938)。绿盟科技安全研究团队第一时间对此次漏洞进行研究,并紧急上线了在线检测工具。
背景
2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告(CNVD-2020-10487,对应CVE-2020-1938)。
绿盟科技安全研究团队第一时间对此次漏洞进行研究,并紧急上线了在线检测工具。
您可以登陆绿盟云https://cloud.nsfocus.com,进入“漏洞威胁-紧急漏洞”,按要求输入待检测的站点信息,点击“立即检测”即可。
漏洞综述
2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。攻击者通过向AJP协议端口(默认8009)发送精心构造的数据,可读取服务器webapp目录下的任意文件,比如配置文件、源代码等。而且如果服务器端有文件上传功能,那么攻击者还可能进一步实现远程代码的执行。
参考链接:
https://www.cnvd.org.cn/webinfo/show/5415
影响范围
受影响产品版本:
Tomcat 6 (已不受维护)
Tomcat 7 Version < 7.0.100
Tomcat 8 Version < 8.5.51
Tomcat 9 Version < 9.0.31
不受影响产品版本:
Tomcat 7 Version >= 7.0.100
Tomcat 8 Version >= 8.5.51
Tomcat 9 Version >= 9.0.31
解决方案
Apache官方已经发布新版本修复了该漏洞,请受影响的用户尽快升级进行防护,无法立即进行更新的用户可参考 CNVD通告采取临时缓解措施。
新版本下载地址:
https://github.com/apache/tomcat/releases
CNVD 通告: