Apache Tomcat文件包含漏洞風險大,威脅全球約8萬臺伺服器

2022-01-31 騰訊安全聯合實驗室

CNVD(國家信息安全漏洞共享平臺)公告知名Web應用伺服器Apache Tomcat被爆存在文件包含漏洞,攻擊者可構造惡意的請求包進行文件包含操作,進而讀取受影響Apache Tomcat伺服器上的Web目錄文件。

Apache Tomcat 是一個免費的開源 Web 應用伺服器,在中小型企業和個人開發用戶中有著廣泛的應用。 

由於Tomcat默認開啟的AJP服務(8009埠)存在一處文件包含缺陷,攻擊者可構造惡意的請求包進行文件包含操作,進而讀取受影響Tomcat伺服器上的Web目錄文件。

高危

攻擊者可在受影響的Apache Tomcat伺服器上非法讀取Web目錄文件,威脅全球約8萬臺伺服器。

 Apache Tomcat 7 < 7.0.100目前Apache官方已發布9.0.31、8.5.51及7.0.100版本對此漏洞進行修復,騰訊安全威脅情報中心建議用戶儘快升級到安全版本,或採取以下臨時緩解措施: 如未使用 Tomcat AJP 協議,可以直接將 Tomcat 升級到 9.0.31、8.5.51或 7.0.100 版本進行漏洞修復。如無法立即進行版本更新、或者是更老版本的用戶,建議直接關閉AJPConnector,或將其監聽地址改為僅監聽本機localhost。  建議將Tomcat立即升級到9.0.31、8.5.51或7.0.100版本進行修復,同時為AJP Connector配置secret來設置AJP協議的認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個安全性高、無法被輕易猜解的值):<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/> 如無法立即進行版本更新、或者是更老版本的用戶,建議為AJPConnector配置requiredSecret來設置AJP協議認證憑證。例如(注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個安全性高、無法被輕易猜解的值):<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />騰訊T-Sec高級威脅檢測系統(騰訊御界)已升級,可檢測針對該漏洞的攻擊。根據騰訊T-Sec 網絡資產風險檢測系統提供的最新數據,採用AJP協議的國內IP數量是 38283個,全網為80781個。
騰訊安全已通過旗下安全產品向政企用戶推送"有關Apache Tomcat存在文件包含漏洞"的安全通告信息,以提醒政企用戶儘快完成修復,防禦可能的黑客攻擊。企業網管也可採用騰訊T-Sec 網絡資產風險檢測系統(騰訊御知)全面檢測企業網絡資產是否受該漏洞影響。在用戶收到騰訊T-Sec網絡資產風險檢測系統(騰訊御知)安全告知消息中,點擊「立即掃描」,即可對客戶資產安全狀況進行檢測。騰訊T-Sec 網絡資產風險檢測系統(騰訊御知)是一款自動探測企業網絡資產並識別其風險的產品。可全方位監控企業網站風險,包含弱口令檢測、Web 漏洞掃描、違規敏感內容檢測、網站篡改檢測、掛馬挖礦檢測等多類資產風險。企業用戶可掃描識別二維碼,免費使用騰訊御知。

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.htmlhttps://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html2)https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

3)CNVD公告:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

相關焦點

  • 【通告更新】Apache Tomcat伺服器文件包含漏洞安全風險通告第三次更新
    CNVD漏洞公告稱Apache Tomcat伺服器存在文件包含漏洞,攻擊者可利用該漏洞,在未授權的情況下遠程讀取或包含Tomcat上webapp目錄下的任意文件,如:相關配置文件或原始碼等。若伺服器端同時存在文件上傳功能,攻擊者可進一步結合文件包含實現遠程代碼的執行。目前此漏洞的PoC和EXP已經在網際網路公開和傳播,有被惡意利用的可能。
  • 【漏洞通告】Apache Tomcat拒絕服務漏洞CVE-2021-42340
    10.0.0-M10 ≤ Apache Tomcat ≤ 10.0.119.0.40 ≤ Apache Tomcat ≤ 9.0.538.5.60 ≤ Apache Tomcat ≤ 8.5.71漏洞類型 : 拒絕服務利用條件 :1、用戶認證:未知2、觸發方式
  • Apache Tomcat 安裝與配置教程
    今天遇到一臺伺服器8088埠不通的問題,發現是apache-tomcat提供的服務,用\bin\startup.bat或者\bin\tomcat8.exe
  • Apache Tomcat 7.x安全加固指南
    有關補丁的可用性和嚴重性的信息,請參見http://tomcat.apache.org/lists.html#tomcat-announce。 更新可能會影響功能。關於核心/業務方面的Tomcat的更新可能帶來的副作用,請查看http://tomcat.apache.org/lists.html#tomcat-announce。
  • Web安全之文件包含漏洞
    本地文件包含的含義就是包含本地伺服器的文件遠程與本地包含的區別本地文件包含就是通過瀏覽器包含web伺服器上的文件,這種漏洞是因為瀏覽器包含文件時沒有進行嚴格的過濾允許遍歷目錄的字符注入瀏覽器並執行。遠程文件包含就是允許攻擊者包含一個遠程的文件,一般是在遠程伺服器上預先設置好的腳本。
  • 在Linux上安裝Apache Tomcat完整指南
    -8/v8.5.23/bin/apache-tomcat-8.5.23.tar.gz一旦文件完成下載,解壓縮/opt目錄中的包(我們也可以使用一些其他的目錄/數據等)。在終端中運行以下命令來提取文件,$ tar -xvzf pache-tomcat-8.5.23.tar.gz -C /opt$ mv /opt/apache-tomcat-8.5.23/ /opt/tomcat現在Apache Tomcat已準備就緒,但是在我們這樣做之前,我們需要分配證書來訪問tomcat的'Manager'和'GUI'頁面,默認情況下沒有設置用戶名和密碼
  • 淺談tomcat 、apache、 nginx的區別及優缺點
    、apache、 nginx的定義、區別及優缺點。Nginx與Apache比較1) nginx相對於apache的優點 輕量級,同樣起web 服務,比apache佔用更少的內存及資源  抗並發,nginx 處理請求是異步非阻塞的,而apache 則是阻塞型的,在高並發下nginx 能保持低資源低消耗高性能  高度模塊化的設計,編寫模塊相對簡單  提供負載均衡 社區活躍,各種高性能模塊出品迅速
  • php文件包含漏洞 - 乾貨
    >php中引發文件包含漏洞的通常是以下四個函數:include()include_once()require()require_once()reuqire() 如果在包含的過程中有錯,比如文件不存在等,則會直接退出,不執行後續語句。
  • 【漏洞通告】Apache Druid LoadData文件讀取漏洞 CVE-2021-36749
    <綜合評定威脅等級>:中危,能造成敏感信息洩露。Apache Druid 是一個分布式的、支持實時多維 OLAP 分析的數據處理系統。它既支持高速的數據實時攝入處理,也支持實時且靈活的多維數據分析查詢。因此 Druid 最常用的場景就是大數據背景下、靈活快速的多維 OLAP 分析。
  • 「Tomcat」Tomcat伺服器核心配置說明及標籤
    如下Tomcat 作為伺服器的配置,主要是 server.xml 件的配置;server.xml中包含了 Servlet容器的相關配置,即 Catalina 的配置;一,主要標籤結構<!-- 加載(伺服器啟動) 和 銷毀 (伺服器停) APR。 如果找不到APR庫, 則會輸出志, 並不影響 Tomcat啟動 --> <Listener className="org.apache.catalina.core.AprLifecycleListener" SSLEngine="on" /> <!
  • Tomcat安裝及配置詳解
    Tomcat不是一個完整意義上的Jave EE伺服器,它甚至都沒有提供對哪怕是一個主要Java EE API的實現;但由於遵守apache開源協議,tomcat卻又為眾多的java應用程式伺服器嵌入自己的產品中構建商業的java應用程式伺服器,如JBoss和JOnAS。
  • Tomcat伺服器安裝、配置及驗證
    Tomcat伺服器安裝前,需要本地電腦上安裝有Java JDK,關於JDK的安裝請參考:Java JDK下載、安裝和驗證下面詳細介紹Tomcat 7.0的安裝配置及驗證步驟:1、到tomcat.apache.org官網上,下載Tomcat對應的版本,這裡選擇
  • PHP 文件包含漏洞姿勢總結
    php 中引發文件包含漏洞的通常是以下四個函數:1、include() 當使用該函數包含文件時,只有代碼執行到 include() 函數時才將文件包含進來,發生錯誤時只給出一個警告,繼續向下執行。2、include_once() 功能和 include() 相同,區別在於當重複調用同一文件時,程序只調用一次。
  • web安全篇(一):PHP文件包含漏洞姿勢總結
    0×01 文件包含Q:什麼是文件包含?A:簡單一句話,為了更好地使用代碼的重用性,引入了文件包含函數,可以通過文件包含函數將文件包含進來,直接使用包含文件的代碼。Q:文件包含漏洞的成因是什麼?A:在包含文件的時候,為了靈活包含文件,將包含文件設置為變量,通過動態變量來引入需要包含的文件時,用戶可以對變量的值可控而伺服器端未對變量值進行合理地校驗或者校驗被繞過,這樣就導致了文件包含漏洞,通常文件包含漏洞出現在PHP語言中。
  • 亡命徒(Outlaw)再度襲來,已感染國內約2萬臺Linux伺服器
    亡命徒(Outlaw)再度襲來,已感染國內約2萬臺Linux伺服器 近日,騰訊安全威脅情報中心檢測到國內大量企業遭遇亡命徒(Outlaw)殭屍網絡攻擊。
  • PHP文件包含漏洞利用思路與Bypass總結手冊(三)
    Bypass-協議限制data://如果在我們使用文件包含漏洞時data://協議被限制,但是我們又想要使用的話該怎麼繞過,比如下面這段限制代碼分析代碼可知filename變量內容開頭不能出現data字符串,這就限制了data
  • 教旁邊妹子Tomcat調優,深夜送她回家...
    容器類組件:可以包含其它組件的組件,如service、engine、host、context。連接器組件:連接用戶請求至tomcat,如connector。被嵌套類組件:位於一個容器當中,不能包含其他組件,如Valve、logger。
  • PHP文件包含漏洞利用思路與Bypass總結手冊(二)
    默認路徑命名格式如果某個伺服器存在session包含漏洞,要想去成功的包含利用的話,首先必須要知道的是伺服器是如何存放該文件的,只要知道了其命名格式我們才能夠正確的去包含該文件Session利用介紹了用戶會話的存儲和處理機制後,我們就可以去深入的理解session文件包含漏洞。LFI本地文件包含漏洞主要是包含本地伺服器上存儲的一些文件,例如Session會話文件、日誌文件、臨時文件等。但是,只有我們能夠控制包含的文件存儲我們的惡意代碼才能拿到伺服器權限。
  • 等保2.0涉及的Apache Tomcat中間件(上)
    1.確認是否使用了tomcat管理後臺我們先找到配置文件:tomcat主目錄下/conf/server.xml可以查看到連接埠,默認為8080然後查看manager-gui管理頁面配置文件,是否設置了用戶登錄配置文件:tomcat主目錄下/conf/tomcat-users.xml
  • 一文看懂Tomcat、Nginx和Apache的區別
    用在Java後臺程序,難道不能用apache和nginx?HTTP伺服器本質上也是一種應用程式——它通常運行在伺服器上,綁定伺服器的IP位址並監聽某個TCP埠,接收並處理HTTP請求,這樣客戶端(如Chrome這樣的瀏覽器)就能通過HTTP協議獲取伺服器上的網頁(HTML格式)、文檔(PDF格式)等資源。