关于对Apache Tomcat 文件包含高危漏洞 开展安全加固的预警通报

据国家网络与信息安全信息通报中心监测发现,Apache Tomcat存在文件包含高危漏洞(CVE-2020-1938,对应CNVD-2020-10487)。Tomcat是Apache软件基金会Jakarta项目中的一个核心项目,Java开发人员应用较多,并得到部分软件开发商认可。Tomcat服务器是一款免费的开源Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。经分析研判,Tomcat AJP协议存在文件包含漏洞,攻击者可利用该漏洞通过构造特定参数的方式,读取服务器webapp目录下任意文件。若服务器同时具备文件上传功能,攻击者可进一步上传恶意文件实现远程代码执行,最终获取服务器控制权。目前,Tomcat 6、7、8、9系列多个版本均受此漏洞影响。

鉴于该漏洞影响范围大,潜在危害程度高,建议采取以下修复措施:一是尽快将Tomcat升级至最新版本(https://tomcat.apache.org/.*系列7.0.100之前版本建议升级到7.0.100版本,8.*系列8.5.51之前版本建议升级到8.5.51版本,9.*系列9.0.31之前版本建议升级到9.0.31版本。二是修改Tomcat配置文件,禁用AJP服务端口三是设置防火墙等安全防护设备端口访问策略,限制AJP服务端口访问权限。各单位要及时警示本部门、本行业、本辖区网站和系统用户,在确保安全的前提下及时堵塞漏洞,消除安全隐患,提高安全防范能力,发现系统遭攻击情况后及时处置并报告。

tomcat安全漏洞预防

为了进一步加强公司实施、运维项目安全性,现对公司所有项目使用的tomcat做以下安全配置修改要求:

一、已部署及实施的项目解决办法

1.隐藏tomcat版本号

说明:目前安全检查工具检测tomcat漏洞的原理首先是先获取tomcat版本号,所以屏蔽版本号可以规避大部分漏洞。

解决:tomcat版本信息由一个jar包控制,该jar包存放在 Tomcat 安装目录下的lib目录,名称为 catalina.jar。打开后修改 org/apache/catalina/util/ServerInfo.properties 文件中的对应字段来屏蔽版本信息。

示例:

原始信息如下:

server.info=Apache Tomcat/7.0.65

server.number=7.0.65.0

server.built=Oct 9 2015 08:36:58 UTC

修改后信息如下:

server.info=no

server.number=no

server.built=no

2.管理AJP端口

说明:AJP协议存在文件包含漏洞,攻击者可利用该漏洞通过构造特定参数的方式,读取服务器webapp目录下任意文件

解决:在tomcat目录下,打开/conf/server.xml文件,注释掉以下内容:

3.禁用Tomcat管理页面

说明:为了防止黑客通过tomcat管理界面对tomcat进行攻击,例如使用默认密码等控制管理页面,攻击服务器,所以默认我们需要把禁用tomcat管理页面

解决:删除webapps目录下默认的docs、examples、manager、ROOT、host-manager文件夹

二、后续新项目解决办法

使用公司统一提供的tomcat版本

说明:项目组从外网下载的tomcat版本有可能存在木马病毒或者未做安全配置,为了确保项目实施及运维的稳定性,建议采用公司统一的tomcat版本

解决:公司内网下载tomcat地址如下

1)Windows版tomcat下载地址:(包含tomcat7、8、9三个版本)

http://tools.********.com.cn/开发工具/********/开发必备/windows/tomcat/

2)linux版tomcat下载地址:(包含tomcat7、8、9三个版本)

http://tools.********.com.cn/开发工具/********/开发必备/linux/tomcat/

你可能感兴趣的:(关于对Apache Tomcat 文件包含高危漏洞 开展安全加固的预警通报)