当前位置: 首页 > 通知公告 > 正文

通知公告

Apache Tomcat AJP协议文件包含高危漏洞风险提示

信息来源: 发布日期: 2020-02-21 浏览次数:

国家信息安全漏洞共享平台(CNVD)2月20日发布Apache Tomcat 文件包含漏洞(CNVD-2020-10487),由于AJP协议不安全权限控制可通过AJP Connector直接操作内部数据从而触发文件包含漏洞,恶意攻击者可以通过该协议端口(默认8009)提交攻击代码,成功利用漏洞能获取目标系统配置文件或源码等敏感文件,或在控制可上传文件的情况下执行恶意代码获取管理权限。

该文件包含漏洞影响以下版本:

7.*分支7.0.100之前版本,建议更新到7.0.100版本;

8.*分支8.5.51之前版本,建议更新到8.5.51版本;

9.*分支9.0.31之前版本,建议更新到9.0.31版本。

补丁官方下载地址:

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

临时缓解措施:

临时禁用AJP协议端口,在conf/server.xml配置文件中注释掉<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />