通告编号:NS-2020-0009-1
2020-02-21
TAG | Apache Tomcat、文件包含、CVE-2020-1938 |
---|---|
危害等级: | 高,攻击者利用此漏洞,可未授权读取任意文件,且在一定条件下实现远程代码执行,PoC已公开。 |
应急等级: | 黄色 |
版本 | 1.1 |
1
漏洞概述
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。
Tomcat是Apache软件基金会中的一个重要项目,性能稳定且免费,是目前较为流行的Web应用服务器。由于Tomcat应用范围较广,因此本次通告的漏洞影响范围较大,请相关用户及时采取防护措施修复此漏洞。
漏洞复现成功,并实现远程代码执行截图如下:
参考链接:
https://www.cnvd.org.cn/webinfo/show/5415
SEE MORE →
2影响范围
受影响版本
不受影响版本
3漏洞检测
3.1 版本检测
通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。
如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。进入Tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。
若当前版本在受影响范围内,则可能存在安全风险。
3.2 产品检测
绿盟科技远程安全评估系统(RSAS)、WEB应用漏洞扫描系统(WVSS)均已具备对此漏洞(CVE-2020-1983)的批量检测能力,请部署有该检测设备的用户升级规则包至最新版本。规则升级包下载链接如下:
升级包版本号 | 升级包下载链接 | |
---|---|---|
RSAS V6 web插件包 | V6.0R02F00.1603 | http://update.nsfocus.com/update/downloads/id/102534 |
WVSS V6 web插件包 | V6.0R03F00.153 | http://update.nsfocus.com/update/downloads/id/102537 |
关于RSAS的配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
3.3 绿盟云线上检测
绿盟云提供在线的检测入口,企业用户可进入页面检测自有资产是否受此漏洞影响。
https://cloud.nsfocus.com/megi/holes/hole_ApacheTomcat_2020_02_20.html
https://cloud.nsfocus.com/#/secwarning/secwarning_news
4漏洞防护
4.1 官方升级
目前官方已在最新版本中修复了该漏洞,用户可通过版本升级进行防护。官方下载链接:
版本号 | 下载地址 |
---|---|
Apache Tomcat 7.0.100 | http://tomcat.apache.org/download-70.cgi |
Apache Tomcat 8.5.51 | http://tomcat.apache.org/download-80.cgi |
Apache Tomcat 9.0.31 | http://tomcat.apache.org/download-90.cgi |
4.2 临时防护措施
如果相关用户暂时无法进行版本升级,可根据自身情况采用下列防护措施。
具体操作:
(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
(2)将此行注释掉(也可删掉该行):
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
(3)保存后需重新启动Tomcat,规则方可生效。
使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
详细信息请参考官方配置说明:
https://tomcat.apache.org/tomcat-7.0-doc/config/ajp.html
https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html
使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />
详细信息请参考官方配置说明:
https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html
4.3 产品防护
针对此漏洞,绿盟科技防护产品已发布规则升级包,强烈建议相关用户升级规则,形成安全产品防护能力。安全防护产品规则版本号如下:
安全防护产品 | 规则版本号 | 升级包下载链接 | 规则编号 |
---|---|---|---|
IPS | 5.6.8.816 | http://update.nsfocus.com/update/downloads/id/102567 | 【24719】 |
5.6.9.21979 | http://update.nsfocus.com/update/downloads/id/102575 | ||
5.6.10.21979 | http://update.nsfocus.com/update/downloads/id/102576 |
产品规则升级的操作步骤详见如下链接:
IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww
4.4 平台监测
绿盟企业安全平台(ESP)与绿盟威胁和漏洞安全管理平台(TVM)已发布对此漏洞的规则升级包,部署有绿盟科技平台类产品的用户,可下载安装漏洞库升级包,实现对此漏洞的平台监测能力,升级包下载信息如下:
安全防护产品 | 规则版本号 | 升级包下载链接 |
---|---|---|
绿盟科技企业安全平台(ESP) | 2020022101 | http://update.nsfocus.com/update/downloads/id/102571 |
绿盟威胁和漏洞安全管理平台(TVM) |