提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      如何进一步打牢科技强国建设根基?习近平作出战略部署

      2026-05-06

       2

      报告发布 |《全球数据泄露态势月度报告》(2026年3月)

      2026-04-28

       3

      国家安全专题 |一图读懂《网络数据安全管理条例》

      2026-04-22

       4

      上海市密码管理局发布《重要网络和信息系统密评工作指南2026版》

      2026-04-20

       5

      4·15国家安全教育日|以《数据安全法》为纲,筑牢数字时代安全屏障

      2026-04-14
      相关文章

      每周安全速递³⁷⁶ | 密西西比大学医学中心在遭受勒索软件攻击后恢复正常运营

      2026-03-09

      每周安全速递³⁷⁵ | LockBit5.0版本支持Windows、Linux与ESXi平台

      2026-03-09

      每周安全速递³⁷⁴ | Osiris勒索软件利用BYOVD技术禁用安全工具

      2026-02-02

      每周安全速递³⁷² | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

      2026-01-19

      每周安全速递³⁷¹ | 勒索软件攻击导致心理健康机构超11万人数据泄露

      2026-01-06
      【漏洞通告】Apache Tomcat服务器存在文件包含漏洞!!!
      发布时间:2020-02-21 阅读次数: 303 次

      01

      漏洞概述


      2月20日,国家信息安全漏洞共享平台(简称CNVD)发布“Apache Tomcat服务器存在文件包含漏洞”(CNVD-2020-10487/CVE-2020-1938)公告。攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。


      为避免您的业务受影响,美创安全实验室建议您及时进行漏洞修复,避免被外部攻击者入侵。


      02

      影响范围


      此次安全“蠕虫级”安全漏洞的影响的企业级操作系统如下:
      受影响版本:
      l  Apache Tomcat 6
      l  Apache Tomcat 7 < 7.0.100
      l  Apache Tomcat 8 < 8.5.51
      l  Apache Tomcat 9 < 9.0.31
       
      不受影响版本:
      l  Apache Tomcat = 7.0.100
      l  Apache Tomcat = 8.5.51
      l  Apache Tomcat = 9.0.31


      03

      漏洞处置建议


      1. 官方升级

      目前官方已在最新版本中修复了该漏洞,用户可通过版本升级进行防护。官方下载链接:

      版本号

      下载地址

      Apache Tomcat 7.0.100

      http://tomcat.apache.org/download-70.cgi

      Apache Tomcat 8.5.51

      http://tomcat.apache.org/download-80.cgi

      Apache Tomcat 9.0.31

      http://tomcat.apache.org/download-90.cgi


      2. 其他防护措施

      如果相关用户暂时无法进行版本升级,可根据自身情况采用下列防护措施。


      l  如未使用Tomcat AJP协议:

      若不需要使用Tomcat AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost。

      具体操作如下:


      (1)编辑 /conf/server.xml,找到如下行( 为 Tomcat 的工作目录):


      (2)将此行注释掉(也可删掉该行):


      (3)保存后需重新启动Tomcat,规则方可生效。


      l  如果使用了Tomcat AJP协议:

      若使用Tomcat AJP协议,可为AJP Connector配置secret来设置 AJP 协议的认证凭证,且注意口令强度


      04

      参考链接


      CNVD发布漏洞公告:

      https://www.cnvd.org.cn/webinfo/show/5415



      转自杭州美创科技有限公司公众号,如需二次转载,请联系marketing@mchz.com.cn

      上一条:本周安全资讯(2.17 - 2.21)
      下一条:运维日记|使用ansible批量部署crontab定时删归档任务
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:marketing@mchz.com.cn
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 杭州美创科技股份有限公司 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部