Apache Tomcat被曝重大漏洞,影响过去13年的所有版本

2020 年 3 月 02 日

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本


近日,国内安全公司长亭科技披露一个在 Tomcat 中潜伏十多年的安全漏洞——Ghostcat (幽灵猫),其编号为CVE-2020-1938


据悉,Ghostcat(幽灵猫)由长亭科技安全研究员发现,它是存在于Tomcat中的安全漏洞。


由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文件,例如可以读取 webapp 配置文件或源代码。


Tomcat Connector 是 Tomcat 与外部连接的通道,它使得 Catalina 能够接收来自外部的请求,传递给对应的 Web 应用程序处理,并返回请求的响应结果。默认情况下,Tomcat 配置了两个 Connector,它们分别是 HTTP Connector 和 AJP Connector。


并且,在目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。


影响过去 13 年所有 Apache Tomcat 版本


众所周知,Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已有二十多年历史,在世界范围内被广泛使用。


据长亭科技官方介绍,这个漏洞影响全版本默认配置下的 Tomcat(已确认影响 Tomcat 9/8/7/6 全版本),这意味着 Ghostcat 在 Tomcat 中潜伏十多年。


“通过 Ghostcat 漏洞,攻击者可以读取 Tomcat 所有 webapp 目录下的任意文件。”长亭科技在博客上写道。


此外,如果网站应用提供文件上传的功能,攻击者能先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 Ghostcat 漏洞进行文件包含,从而达到代码执行的危害。


下列版本的 Tomcat 受 Ghostcat 漏洞影响:


  • Apache Tomcat 9.x < 9.0.31

  • Apache Tomcat 8.x < 8.5.51

  • Apache Tomcat 7.x < 7.0.100

  • Apache Tomcat 6.x


修复漏洞


长亭科技提示:对于处在漏洞影响版本范围内的 Tomcat 而言,若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下,即存在被 Ghostcat 漏洞利用的风险。


并且,Tomcat AJP Connector 默认配置下即为开启状态,且监听在 0.0.0.0:8009。


要正确修复 Ghostcat 漏洞,首先要确定服务器环境中是否有用到 Tomcat AJP 协议:


  • 如果未使用集群或反向代理,则基本上可以确定没有用到 AJP;

  • 如果使用了集群或反向代理,则需要看集群或反代服务器是否与 Tomcat 服务器 AJP 进行通信


早在 1 月初,长亭科技向 Apache Tomcat 官方提交漏洞。


目前,Tomcat 官方已经发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。因此,建议 Tomcat 用户尽快升级到最新版本。


2020 年 3 月 02 日 11:559487
用户头像
万佳 InfoQ编辑

发布了 447 篇内容, 共 160.8 次阅读, 收获喜欢 898 次。

关注

评论

发布
暂无评论
发现更多内容

就餐卡系统第一周作业「架构师训练营第 1 期」

天天向善

学习

从构建小系统到架构分布式大系统,Spring Boot2的精髓全在这里了

Java成神之路

Java 编程 程序员 面试 Spring Boot 2

洞爷湖-安静与灵动

刘旭东

摄影 摄影征文 洞爷湖 北海道

阿里云发布边缘计算视频上云解决方案 为海量视图处理提供城市级云基础设施

巨侠说

边缘计算

聚焦2020云栖大会 边缘计算专场畅谈技术应用创新

巨侠说

第一周总结

一个节点

极客大学架构师训练营

云图说 | 通过Helm模板快速部署中间件应用

华为云开发者社区

容器 k8s

微服务 API 网关kong的爬坑之路

Dream

微服务网关 kong

从开源协议到谷歌禁用华为、Docker实体清单事件

艾小仙

GitHub Linux 开源 编程语言 开源许可证

Vue-防止重复点击指令

老菜鸟

Vue 指令

司法区块链破解互联网案件审判难

CECBC区块链专委会

区块链技术 不可篡改 法院

拥抱K8S系列-08-通过rancher部署nginx应用

张无忌

nginx Kubernetes rancher

第一周作业

Geek_4c1353

极客大学架构师训练营

面试官:谈一下你对DDD的理解?我:马什么梅?

艾小仙

Java 架构 编程语言 领域驱动设计 DDD

食堂就餐卡系统设计

一个节点

极客大学架构师训练营

加速连接效率 阿里云推出5G消息使能平台MEP

巨侠说

同事为进大厂天天刷Java面试题,面试却履败!究其原因竟是它在捣鬼。

Java成神之路

Java 程序员 数据结构 面试 算法

不正经的计算机专业学生拍摄照片分享

王荣胜

摄影

机器学习在滴滴网络定位中的探索和实践

滴滴技术

人工智能 学习 滴滴技术

非暴力拆解:小熊派NB-IoT通信扩展板

华为云开发者社区

IoT 通信 芯片

食堂就餐卡系统UML设计 - 架构师训练营第1周作业

netspecial

极客大学架构师训练营

程序员写个人技术博客的价值与意义

Java架构师迁哥

云栖大会CDN技术专场:如何构建企业级内容分发加速体验?

巨侠说

CDN

多方计算——打开区块链应用新场景

CECBC区块链专委会

区块链 大数据

[Go] 设置各种选项的最佳套路

eddix

go 设计模式

架构方法周总结第一周作业「架构师训练营第 1 期」

天天向善

学习

架构师训练营01周 -- 命题作业

骏马

极客大学架构师训练营

一周信创舆情观察(8.24~9.13)

统小信uos

并发+JVM+Redis+MySQL+分布式+微服务等及阿里等大厂最新面试问答

Java成神之路

Java redis spring 面试 JVM

Week 1 命题作业

阿泰

架构师训练营1期第1周:架构方法 - 总结

piercebn

极客大学架构师训练营

Apache Tomcat被曝重大漏洞,影响过去13年的所有版本-InfoQ