아파치 톰캣의 취약성에 대한 보안 공지를 포함하는 파일

기타 2020-02-26 07:03:36 독서 시간: null

플랫폼 (CNVD)를 공유하는 국가 정보 보안 취약점이 최근에 아파치 톰캣 취약점이 포함 된 보안 파일에 대한 보고서 발표 게시판 , 보안 공지 번호 : CNTA-2020-0004를, 세부 사항은 다음과 같습니다 :

2020 년 1 월 6, 플랫폼을 공유하는 국가 정보 보안 취약점 (CNVD는) 베이징 과학 기술 유한 회사에 의해 발견 아파치 톰캣 파일에 포함될 취약점에 제출 파빌리온 포함 (CNVD-2020-10487을 해당 CVE-2,020에서 1,938 사이). 이 취약점을 악용 한 공격자는 인증되지 않은 원격의 경우 특정 디렉토리에 임의의 파일을 읽을 수 있습니다. 현재, 취약점 세부 사항은 제조자가 버그 수정 완료의 새 버전을 출시했습니다, 공개되지 않았다.

 

상황의 취약성 분석

Tomcat은 더 인기있는 웹 응용 프로그램 서버로, 자바 팬들의 사랑을 한 몸에 받고, 아파치 소프트웨어 재단의 자카르타 프로젝트의 핵심 프로젝트이며, 일부 소프트웨어 개발자들에 의해 인정을 받고있다. Tomcat 서버가 널리 경량 웹 응용 프로그램 서비스의 프레임 워크에 사용되는, 무료 오픈 소스 웹 응용 프로그램 서버입니다.

2020 년 1 월 6 일 국가 정보 보안 취약점 공유 플랫폼 (CNVD는) 베이징 과학 기술 유한 회사에 의해 발견 파빌리온을 포함하고 아파치 톰캣의 취약점을 포함하는 파일을 제출합니다. Tomcat이 AJP 프로토콜은 제어 매개 변수 결핍 리드에 의한 구현, 특정 매개 변수를 구성하여 이러한 취약점을 악용 할 수있는 공격자는 임의의 파일 서버 웹 애플리케이션을 참조하십시오. 동시에 서버 측 파일 업로드 기능이있는 경우, 공격자는 또한 원격 코드 실행을 달성 할 수있다.

CNVD으로 종합 평가 취약점 "매우 중요합니다."

둘째, 취약성의 범주

이 취약점은 제품의 버전을 포함 영향을

  • 6 톰캣

  • 7 톰캣

  • 8 톰캣

  • 9 톰캣

기술 테스트는 우리 나라에서 취약점의 영향을받지 43197 개 서버의 총, 충격 비율이 7.8 %에 관한 발견을 통해 우리 나라의 영토에 아파치 톰캣 AJP 프로토콜 분산 통계에 대한 CNVD 플랫폼, 결과는 555,000에 대한 내 나라에서 그 IP 번호를 보여 주었다.

셋째, 취약점 처리 권장

현재 아파치가 공식 버전 7.0.100 9.0.31,8.5.51을 발표하고이 취약점을 해결했다 CNVD 사용자가 새 버전으로 즉시 업그레이드하거나 임시 완화 조치를 취할 것을 권장합니다 :

1. 톰캣 AJP 프로토콜을 사용하지 않는 경우 :

톰캣 AJP 프로토콜을 사용하지 않는 경우 9.0.31,8.5.51 톰캣 버전 7.0.100 또는 버그 수정에 직접 업그레이드 할 수 있습니다.

즉시 버전을 업데이트 할 수 없습니다 또는 이전 버전을 직접 AJPConnector 떨어져 사용자에게 권장됩니다, 또는 단지 로컬 호스트 컴퓨터의 주소를 듣고 듣고합니다.

구체적 조작 :

(1) 편집 <CATALINA_BASE> /conf/server.xml, 다음 줄을 찾아 (<CATALINA_BASE>에 대한 톰캣 작업 디렉토리) :

<커넥터 포트 = "8009"프로토콜 = "AJP / 1.3"있는 redirectPort = "8443"/>

(2)이 선 (이 라인이 삭제 될 수 있습니다) 주석 :

<! - <Connectorport = "8009"프로토콜 = "AJP / 1.3"있는 redirectPort = "8443"/> ->

절약의 요구를 다시 시작하는 후 (3), 규칙이 적용됩니다.

2. 톰캣 AJP 프로토콜을 사용하는 경우 :

즉시 버전 7.0.100 또는 9.0.31,8.5.51 수리, AJP AJP 커넥터 세트 인증 자격 증명을 구성 비밀 계약으로 업그레이드에 톰캣을 권장합니다. 예를 들어 (주 당신은 YOUR_TOMCAT_AJP_SECRET에게 안전을 변경해야합니다, 쉽게 솔루션의 가치를 추측 할 수 없음)

<커넥터 포트 = "8009"프로토콜 = "AJP / 1.3"있는 redirectPort = "8443"주소 = "YOUR_TOMCAT_IP_ADDRESS"비밀 = "YOUR_TOMCAT_AJP_SECRET"/>

즉시 버전 또는 이전 버전을 업데이트 할 수없는 경우 AJP 프로토콜 인증 자격 증명을 설정하는 구성 requiredSecret AJPConnector에 사용자에게 권장됩니다. 예를 들어 (주 당신은 YOUR_TOMCAT_AJP_SECRET에게 안전을 변경해야합니다, 쉽게 솔루션의 가치를 추측 할 수 없음)

<커넥터 포트 = "8009"프로토콜 = "AJP / 1.3"있는 redirectPort = "8443"주소 = "YOUR_TOMCAT_IP_ADDRESS"requiredSecret = "YOUR_TOMCAT_AJP_SECRET"/>

첨부 파일 : 참고 링크

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

추천

출처www.cnblogs.com/guohu/p/12364910.html
추천
.netcoreapi 컨테이너와 컨테이너의 MySQL을 고정 표시기-구성
com.google.firebase.database.DatabaseException는 : 롱 타입 java.lang.String의 값을 변환하는 데 실패
국내 휴대전화 왕이 미국 통신사 시장 1위를 차지했지만 국내 휴대전화 4위는 아니다.
트랜잭션 격리 수준의 네 가지
오늘 chatgpt 시도
부하 분산
【FFMpeg】源码编译
우분투 sudo를 무료로 접착
자바 8 스트림 API - 어떤 상태 중간 동작을 보증 새로운 소스 수집합니까?
CF161BDiscounts
아카이브
기타
2020-04-08(1460)
2020-04-07(1517)
2020-04-06(1499)
2020-04-05(1440)
2020-04-04(1629)
2020-04-03(1644)
2020-04-02(1572)
2020-04-01(1665)
2020-03-31(1639)
2020-03-30(1334)

코드 세계

© 2018 codetd.com