【防护方案】Apache Tomcat文件包含漏洞(CVE-2020-1938)
2020-02-20
一、综述
2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。
公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)可使攻击者在未授权的情况下远程读取特定目录下的任意文件。
漏洞源于Tomcat AJP协议实现中的缺陷,使得相关参数可控。通过向AJP协议端口(默认8009)发送精心构造的数据,可读取服务器webapp目录下的任意文件,比如配置文件、源代码等。而且如果服务器端有文件上传功能,那么还可能进一步实现远程代码的执行。
js1996官网登录已在第一时间复现了利用该漏洞读取文件的过程,效果如下图所示:
此外,在服务器上存在上传点的情况下,复现了远程代码执行。
参考链接:
https://www.cnvd.org.cn/webinfo/show/5415
二、漏洞影响范围
- Tomcat 6 (已不受维护)
- Tomcat 7 Version < 7.0.100
- Tomcat 8 Version < 8.5.51
- Tomcat 9 Version < 9.0.31
三、影响排查
3.1 本地检测
通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。
如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。进入Tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。
若当前版本在受影响范围内,则可能存在安全风险。
四、技术防护方案
4.1 官方修复方案
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:
Apache Tomcat 7.0.100 :http://tomcat.apache.org/download-70.cgi
Apache Tomcat 8.5.51 :http://tomcat.apache.org/download-80.cgi
Apache Tomcat 9.0.31 :http://tomcat.apache.org/download-90.cgi
4.2 临时解决方案
如果相关用户暂时无法进行版本升级,可根据自身情况采用下列防护措施。
- 若不需要使用Tomcat AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost。具体操作:
(1)编辑
(2)将此行注释掉(也可删掉该行):
|
(3)保存后需重新启动Tomcat,规则方可生效。
- 若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。
使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
|
使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
|
4.3 js1996官网登录检测防护建议
4.3.1 js1996官网登录检测类产品与服务
1、资产可使用金沙js1996云紧急漏洞在线检测,检测地址如下:
手机端访问地址:
https://cloud.nsfocus.com/megi/holes/hole_ApacheTomcat_2020_02_20.html
PC端访问地址:https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1026
2、内网资产可以使用js1996官网登录的远程安全评估系统(RSAS V6)、Web应用漏洞扫描系统(WVSS)、入侵检测系统(IDS)、统一威胁探针(UTS)进行检测。
- 远程安全评估系统(RSAS V6)系统插件
http://update.nsfocus.com/update/listRsasDetail/v/vulsys
- 远程安全评估系统(RSAS V6)Web插件
http://update.nsfocus.com/update/listRsasDetail/v/vulweb
- Web应用漏洞扫描系统(WVSS)
http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg
- 入侵检测系统(IDS)
http://update.nsfocus.com/update/listIds
http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0
通过上述链接,升级至最新版本即可进行检测!
4.3.2 使用js1996官网登录防护类产品进行防护
入侵防护系统(IPS)
http://update.nsfocus.com/update/listIps
通过上述链接,升级至最新版本即可进行防护!
4.3.3 检测防护产品升级包/规则版本号
检测产品 | 升级包/规则版本号 |
RSAS V6 系统插件包 | V6.0R02F01.1709 |
RSAS V6 Web插件包 | V6.0R02F00.1604 |
WVSSV6 插件包 | V6.0R03F00.153 |
IDS | 5.6.8.816、 5.6.9.21979、 5.6.10.21979 |
UTS | 5.6.10.21979 |
注意:IDPS 569/5610和UTS设备,要检测该漏洞,需要将专业参数的UnknownDisableEncrypt开关置为否。
- RSAS V6 系统插件包下载链接:
http://update.nsfocus.com/update/downloads/id/102566
- RSAS V6 Web插件包下载链接:
http://update.nsfocus.com/update/downloads/id/102580
- WVSSV6插件包下载链接:
http://update.nsfocus.com/update/downloads/id/102537
- IDS 升级包下载链接:
5.6.8.816
http://update.nsfocus.com/update/downloads/id/102567
5.6.9.21979
http://update.nsfocus.com/update/downloads/id/102575
5.6.10.21979
http://update.nsfocus.com/update/downloads/id/102576
- UTS 升级包下载链接:
http://update.nsfocus.com/update/downloads/id/102579
防护产品 | 升级包/规则版本号 | 规则编号 |
IPS | 5.6.8.816、 5.6.9.21979、 5.6.10.21979 | 24719 |
- IPS 升级包下载链接:
5.6.8.816
http://update.nsfocus.com/update/downloads/id/102567
5.6.9.21979
http://update.nsfocus.com/update/downloads/id/102575
5.6.10.21979
http://update.nsfocus.com/update/downloads/id/102576
4.3.4 安全平台
平台 | 升级包/规则版本号 |
ESP(金沙js1996企业安全平台解决方案) | 利用规则升级包升级: ESP-EVENTRULE-004-20200221.dat |
ESP-H(金沙js1996企业安全平台) | 利用规则升级包升级: ESP-EVENTRULE-003-20200221.dat 或者ESP-EVENTRULE-004-20200221.dat |
ISOP(金沙js1996智能安全运营平台) | 利用规则升级包升级: attack_rule.1.0.0.0.204825.dat |
TVM(金沙js1996威胁和漏洞安全管理平台) | 2020022101 |
BSA(金沙js1996日志数据安全性分析系统) | 2.0R00F05SP03 2.0R01F00SP03 |
五、附录A ·产品使用指南
$(".info_chag img").each(function () { $(this).css({ "max-width": "100%","height": "auto","display":"inline-block" }).parent().css({"text-align":"center"}); });
您的联系方式
© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号