海外优质VPS
高性价比免备案主机推荐

【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)

【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)


【概述】

腾讯安全威胁情报中心监测到知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Apache Tomcat服务器上的Web目录文件。


【漏洞详情】
Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中有着广泛的应用。


由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。

【风险等级】高危
 
【漏洞影响】
攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件。
 
【影响范围】
  Apache Tomcat 6
  Apache Tomcat 7 < 7.0.100
  Apache Tomcat 8 < 8.5.51
  Apache Tomcat 9 < 9.0.31
 
【安全版本】
  Apache Tomcat 7.0.100
  Apache Tomcat 8.5.51
  Apache Tomcat 9.0.31

【修复建议】
  目前官方均已发布新版本修复漏洞,腾讯安全威胁情报中心建议:
  1)尽快更新服务器组件到安全版本;
  2)关闭 AJP 服务:

打开 Tomcat 配置文件 Service.xml,注释掉如下行:
<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ />

【漏洞链接】
1)Tomcat 官网:

http://tomcat.apache.org/
2)CNVD公告:

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487


文章来源:腾讯御见威胁情报中心

猜你喜欢  
国外黑客蠢蠢欲动,欲攻击我国视频监控系统!
美政府网站遭伊黑客入侵 页面挂特朗普遭拳击图片
美情报机构被爆窃取120国机密 外交部:“黑客帝国”
防不胜防!黑客通过控制显示器的亮度获取信息
美击杀伊朗二号人物,美伊“网络战”一触即发!
如何黑掉一台根本不联网的电脑
工信部:发现多起利用新冠肺炎疫情实施网络攻击的行为
以军称哈马斯黑客网上扮美女 引诱士兵下载APP入侵其手机
实现零的突破!工信部批准中国信通院设立域名根服务器
印度APT组织趁火打劫对我国医疗机构发起定向攻击!无耻!

【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)


【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)
你点的每个赞,我都认真当成了喜欢
《【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)》原文地址:
http://mp.weixin.qq.com/s?__biz=MzIzMzE4NDU1OQ==&mid=2651966003&idx=1&sn=515e4a48055f155768aaf403a33ddb4f&chksm=f36ce673c41b6f659af2634e31dd585fa27547626aa7ee2d2d59c4538c6993c0d41a6f03d36c
赞(0)
本站所刊载内容均为网络上收集整理,本站不保证其真实性和准确性,所有内容仅供大家娱乐参考。如有异议,请与本站联系,会尽快处理争议内容。VPS主机推荐 » 【安全通告】Apache Tomcat 文件包含漏洞(CNVD-2020-10487)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址