欢迎访问信息办与网络中心官方网站!
当前位置: 网站首页>>网络安全>>正文

关于“Apache Tomcat存在文件包含漏洞”网络安全预警通报的通知

2020年03月04日  点击:[]

各校内师生:

根据国家信息安全漏洞共享平台(CNVD20日发布的Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件,若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复,本次受影响版本:

Apache Tomcat 6

Apache Tomcat 7

Apache Tomcat 8

Apache Tomcat 9

目前,Apache官方已发布9.0.318.5.517.0.100版本对此漏洞进行修复,建议用户尽快升级新版本或采取临时缓解措施:

1、如未使用Tomcat AJP协议:

如未使用Tomcat AJP协议,可以直接将Tomcat 升级到9.0.318.5.517.0.100版本进行漏洞修复。

2、如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost

具体操作:

(一)编辑<CATALINA_BASE>/conf/server.xml

(二)找到如下行(<CATALINA_BASE>  Tomcat 的工作目录):

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

将此行注释掉(也可删掉该行):

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

(三)保存后需重新启动Tomcat,规则方可生效。

(四)若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):

<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

请各校内师生结合自身实际情况及时排查,在确保网络和信息系统安全稳定运行的前提下,按照处置建议进行处置,避免引发漏洞相关的网络安全事件。

服务联系电话:0472-5288017/13500620202

 

 

 

信息办与网络中心

20200304

 

 

上一条:关于“微软产品2020年02月安全漏洞”网络安全预警通报的通知 下一条:关于防范利用“新型冠状病毒”等疫情热词传播计算机网络病毒的通知

关闭

内蒙古科技大学信息办与网络中心
地 址:内蒙古科技大学本部图书馆三楼网络中心
报修与服务电话:0472-5288017 13500620202 (维护报修提供7×12服务,工作时间为早8:00-晚8:00)蒙ICP备05000413号