취약점의 특정 상황을 참조하십시오 http://blog.nsfocus.net/cve-2020-1938/
복제 참조 : https://github.com/0nise/CVE-2020-1938
특히 주목할 바람둥이 전에, AJP은 기본적으로 설정되어 있다는 것입니다! ! ! !
지역 재현, 7.0.95 톰캣 버전 :
1. server.xml의 구성 :
시작 바람둥이, cmd를, 명령을 실행 :
당신은 파일을 읽을 수 있습니다. server.xml의 구성을 수정합니다 :
시작 바람둥이 다시 테스트 액세스 :
금지는 방문했다. 설명 우리의 구성했다.
http://blog.nsfocus.net/cve-2020-1938/ 링크 말했다 사용 TOMCAT (7)
주소 = "127.0.0.1" 비밀 = "xxxxx는"
그것은 잘못된해야합니다. 테스트 후, Tomcat7 사용한다 :
주소 = "127.0.0.1" requiredSecret = "XXXX"
테스트 승리! ! !
보험 목적을 위해, 플러스 모든 최고의 :
주소 = "127.0.0.1" 비밀 = "xxxxx는" requiredSecret = "XXXX"