1. 首页>
  2. 资讯中心

【安全通告】Apache Tomcat 文件包含漏洞风险通告(CNVD-2020-10487)

腾讯云 2020年02月24日 浏览959

    新闻 资讯 腾讯云代理 腾讯云直播申请 游戏上云

摘要:

尊敬的腾讯云客户, 您好

       近日,腾讯云安全中心监测到知名轻量级Web应用服务器 Apache Tomcat 被爆存在文件包含漏洞 攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响 Apache Tomcat 服务器上的 Web 目录文件
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
 
【漏洞详情】
  Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。  
  由于 Tomcat 默认开启的 AJP 服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响 Tomcat 服务器上的 Web 目录文件。
【风险等级】
  高风险
 
【漏洞风险】
  攻击者可在受影响的 Apache Tomcat 服务器上非法读取Web目录文件
 
【影响版本】
 Apache Tomcat 6  Apache Tomcat 7 < 7.0.100  Apache Tomcat 8 < 8.5.51  Apache Tomcat 9 < 9.0.31
 
【安全版本】
  Apache Tomcat 7.0.100
  Apache Tomcat 8.5.51
  Apache Tomcat 9.0.31

【修复建议】
  目前官方均已发布新版本修复漏洞,腾讯云安全团队建议您:
  1)更新更安全版本
  2)关闭 AJP 服务:打开 Tomcat 配置文件 Service.xml,注释掉如下行
        <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
  
【检测方法】
  腾讯云 网络资产风险监测系统 现已支持该漏洞立即扫描,您可采用检测企业网络资产是否受该漏洞影响。
  



【漏洞参考】
  1)Tomcat 官网:http://tomcat.apache.org/


相关文章

腾讯云服务器

为企业提供:云服务器/视频/游戏/微信开发/软件/网站/APP…云解决方案

  • QQ群咨询:377986805 咨询电话:15818558013
  • 技术支持:0755-33940501-808 17603077568
  • 产品咨询:0755-33940501-803 15818558013