開源Web應用服務器Apache Tomcat被爆文件包含漏洞，波及約8萬臺服務器

2月20日，CNVD(國家信息安全漏洞共享平臺)公告知名Web應用服務器Apache Tomcat被爆存在文件包含漏洞，攻擊者可在受影響的Apache Tomcat服務器上非法讀取Web目錄文件，甚至進一步執(zhí)行任意代碼，威脅信息安全，該漏洞將波及全球約8萬臺服務器。

Apache Tomcat 是一個免費的開源 Web 應用服務器，在中小型企業(yè)和個人開發(fā)用戶中廣泛應用。由于Tomcat默認開啟的AJP服務(8009端口)存在一處文件包含缺陷，攻擊者可構造惡意的請求包進行文件包含操作，進而讀取受影響Tomcat服務器上的Web目錄文件。據(jù)了解，Apache Tomcat 6、 Apache Tomcat 7 < 7.0.100、Apache Tomcat 8 < 8.5.51、Apache Tomcat 9 < 9.0.31等版本都將受到該漏洞影響。根據(jù)騰訊安全網(wǎng)絡資產風險檢測系統(tǒng)(騰訊御知)提供的最新數(shù)據(jù)，當前采用AJP協(xié)議的國內IP數(shù)量為38283個，全網(wǎng)共80781個。企業(yè)網(wǎng)管可采用騰訊安全網(wǎng)絡資產風險檢測系統(tǒng)全面檢測企業(yè)網(wǎng)絡資產是否受該漏洞影響。

目前，Apache官方已發(fā)布修復漏洞的新版本：Apache Tomcat 7.0.100、Apache Tomcat 8.5.51及 Apache Tomcat 9.0.31，騰訊安全威脅情報中心專家建議用戶盡快升級到安全版本。對于暫不能升級、未使用AJP協(xié)議的用戶，專家建議直接關閉AJPConnector，或將其監(jiān)聽地址改為僅監(jiān)聽本機localhost。對于使用了AJP協(xié)議的用戶，專家建議在升級的基礎上為AJP Connector配置secret來設置AJP協(xié)議的認證憑證;如無法立即升級，建議為AJPConnector配置requiredSecret來設置AJP協(xié)議認證憑證。

目前，騰訊安全也已針對該漏洞啟動應急響應方案，已通過旗下安全產品向政企用戶推送"有關Apache Tomcat存在文件包含漏洞"的安全通告信息，以提醒政企用戶盡快完成修復，防御可能的黑客攻擊。

同時，騰訊安全高級威脅檢測系統(tǒng)(騰訊御界)已即時升級，可檢測針對該漏洞的攻擊。

此外，騰訊安全網(wǎng)絡資產風險檢測系統(tǒng)(騰訊御知)作為一款自動探測企業(yè)網(wǎng)絡資產并識別風險的產品，可全方位幫助企業(yè)用戶進行包含弱口令檢測、Web 漏洞掃描、違規(guī)敏感內容檢測、網(wǎng)站篡改檢測、掛馬挖礦檢測等多類資產風險檢測。企業(yè)網(wǎng)管可采用騰訊安全網(wǎng)絡資產風險檢測系統(tǒng)全面檢測企業(yè)網(wǎng)絡資產是否受該漏洞影響。在該系統(tǒng)安全告知消息中點擊“立即掃描”，即可對客戶資產安全狀況進行全面檢測。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。