tomcat漏洞的问题
对于非容器化部署的项目,建议直接关闭ajp协议的方式处理
对于容器化部署的,直接升级版本
研发口这边我已经通知了
2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告,绿盟安全评估系统也同步向我们推送了有关该安全漏洞的预警通知。
公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。该漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。通过向AJP协议端口(默认8009)发送精心构造的数据,可读取服务器webapp目录下的任意文件,比如配置文件、源代码等。而且如果服务器端同时开放了文件上传功能,那么还可能进一步实现远程代码的执行。
由于该漏洞影响范围大且潜在危险性高,经过仔细的分析预案和实际项目验证和准备,现要求各单位及时排查,并及时沟通相关情况。
关于修复方式:
针对此Tomcat的文件包含漏洞,同时综合多方面给出的修复建议,现统一推荐如下的2类修复方案(按照Tomcat的宿主形态划分):
方案一:当Apache Tomcat部署在物理服务器、虚拟机以及LXC容器中时,采取直接修改AJP Connector配置参数的方案。
若系统不需要使用Tomcat的AJP协议,具体操作如下:
1) 编辑<Tomcat工作目录>/conf/server.xml,找到如下行:
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
2) 将此行注释掉:
<!--<Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />-->
3) 保存修改后需要重新启动Tomcat。
若系统需要使用AJP协议,具体操作如下:
1) 使用Tomcat 7和Tomcat 9的可以为AJP Connector配置secret来设置AJP协议的认证凭证(注意要将YOUR_TOMCAT_AJP_SECRET设置为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
2) 使用Tomcat 8的可以为AJP Connector配置require Secret来设置AJP协议的认证凭证(注意要将YOUR_TOMCAT_AJP_SECRET设置为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET"/>
3) 保存修改后需要重新启动Tomcat。
方案二:当Apache Tomcat部署在Docker容器中时,采取在Docker镜像中升级Tomcat版本的方案,由各产品研发基线化到版本中去。
Tomcat版本升级要求如下:
Tomcat 7系列统一升级到7.0.100
Tomcat 8系列统一升级到8.5.51
Tomcat 9系列统一升级到9.0.31
