InfoQ@13 年的所有版本,Apache Tomcat 被曝重大漏洞,影响过去
【InfoQ@13 年的所有版本,Apache Tomcat 被曝重大漏洞,影响过去】
文章图片
近日 , 国内安全公司长亭科技披露一个在Tomcat中潜伏十多年的安全漏洞——Ghostcat(幽灵猫) , 其编号为CVE-2020-1938 。
据悉 , Ghostcat(幽灵猫)由长亭科技安全研究员发现 , 它是存在于Tomcat中的安全漏洞 。
由于TomcatAJP协议设计上存在缺陷 , 攻击者通过TomcatAJPConnector可以读取或包含Tomcat上所有webapp目录下的任意文件 , 例如可以读取webapp配置文件或源代码 。
TomcatConnector是Tomcat与外部连接的通道 , 它使得Catalina能够接收来自外部的请求 , 传递给对应的Web应用程序处理 , 并返回请求的响应结果 。 默认情况下 , Tomcat配置了两个Connector , 它们分别是HTTPConnector和AJPConnector 。
并且 , 在目标应用有文件上传功能的情况下 , 配合文件包含的利用还可以达到远程代码执行的危害 。
影响过去13年所有ApacheTomcat版本众所周知 , Java是目前Web开发中最主流的编程语言 , 而Tomcat是当前最流行的Java中间件服务器之一 , 从初版发布到现在已有二十多年历史 , 在世界范围内被广泛使用 。
据长亭科技官方介绍 , 这个漏洞影响全版本默认配置下的Tomcat(已确认影响Tomcat9/8/7/6全版本) , 这意味着Ghostcat在Tomcat中潜伏十多年 。
“通过Ghostcat漏洞 , 攻击者可以读取Tomcat所有webapp目录下的任意文件 。 ”长亭科技在博客上写道 。
此外 , 如果网站应用提供文件上传的功能 , 攻击者能先向服务端上传一个内容含有恶意JSP脚本代码的文件(上传的文件本身可以是任意类型的文件 , 比如图片、纯文本文件等) , 然后利用Ghostcat漏洞进行文件包含 , 从而达到代码执行的危害 。
下列版本的Tomcat受Ghostcat漏洞影响:
ApacheTomcat9.x<9.0.31ApacheTomcat8.x<8.5.51ApacheTomcat7.x<7.0.100ApacheTomcat6.x修复漏洞长亭科技提示:对于处在漏洞影响版本范围内的Tomcat而言 , 若其开启AJPConnector且攻击者能够访问AJPConnector服务端口的情况下 , 即存在被Ghostcat漏洞利用的风险 。
并且 , TomcatAJPConnector默认配置下即为开启状态 , 且监听在0.0.0.0:8009 。
要正确修复Ghostcat漏洞 , 首先要确定服务器环境中是否有用到TomcatAJP协议:
如果未使用集群或反向代理 , 则基本上可以确定没有用到AJP;如果使用了集群或反向代理 , 则需要看集群或反代服务器是否与Tomcat服务器AJP进行通信早在1月初 , 长亭科技向ApacheTomcat官方提交漏洞 。
目前 , Tomcat官方已经发布9.0.31、8.5.51及7.0.100版本针对此漏洞进行修复 。 因此 , 建议Tomcat用户尽快升级到最新版本 。
点解文末了解更多查看更多相关话题 。
推荐阅读
- [嘤嘤笑不停]侦查所有的喵,搞笑GIF趣图:我是一只侦查喵
- 国际连连看▲布条头巾围巾都可以,纽约市长警告:所有人外出时要戴上自制口罩
- 「生活君常识」出狱后一无所有只剩北京264套房,他曾豪言半年造出芯片
- 「拓土开疆战四方」线上运力也已回归正常水平,沃尔玛湖北所有门店线下全面恢复
- 环球财坊@苹果所有美国零售店将停业直到5月
- 『细胞社区』美媒:美国抗疫不力不需要为几十年的错误买单
- 苏家酒窖@共饮一江水,同食一江鱼,与唐朝跨越千年的共鸣
- 「鉄血解读」打破美国五十年的垄断,中国传出一好消息!这项新技术被我国突破
- 细胞社区▲美媒:美国抗疫不力不需要为几十年的错误买单
- 「大龙哥侃世界」所有人应继续领正常工资,普京正式升级防疫:大家在家再待一个月