【安全通告】Apache Tomcat 文件包含漏洞风险通告(CNVD-2020-10487)
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到知名轻量级Web应用服务器 Apache Tomcat 被爆存在文件包含漏洞 ,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响 Apache Tomcat 服务器上的 Web 目录文件。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。
由于 Tomcat 默认开启的 AJP 服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响 Tomcat 服务器上的 Web 目录文件。
【风险等级】
高风险
【漏洞风险】
攻击者可在受影响的 Apache Tomcat 服务器上非法读取Web目录文件
【影响版本】
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31
【安全版本】
Apache Tomcat 7.0.100
Apache Tomcat 8.5.51
Apache Tomcat 9.0.31
【修复建议】
目前官方均已发布新版本修复漏洞,腾讯云安全团队建议您:
1)更新更安全版本;
2)关闭 AJP 服务:打开 Tomcat 配置文件 Service.xml,注释掉如下行:
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
【检测方法】
腾讯云 网络资产风险监测系统 现已支持该漏洞立即扫描,您可采用检测企业网络资产是否受该漏洞影响。
【漏洞参考】
1)Tomcat 官网:http://tomcat.apache.org/