剛剛,綠盟雲針對Apache Tomcat檔案包含漏洞的線上檢測正式上線
2月20日,國家資訊保安漏洞共享平臺(CNVD)釋出了一則關於Apache Tomcat存在檔案包含漏洞的安全公告(CNVD-2020-10487,對應CVE-2020-1938)。
綠盟科技安全研究團隊第一時間對此次漏洞進行研究,並緊急上線了線上檢測工具。
您可以登陸綠盟雲https://cloud.nsfocus.com,進入“漏洞威脅-緊急漏洞”,按要求輸入待檢測的站點資訊,點選“立即檢測”即可。
漏洞綜述
2月20日,國家資訊保安漏洞共享平臺(CNVD)釋出了一則關於Apache Tomcat存在檔案包含漏洞的安全公告。公告中表示,存在於Apache Tomcat中的檔案包含漏洞(CNVD-2020-10487,對應CVE-2020-1938)可使攻擊者在未授權的情況下遠端讀取特定目錄下的任意檔案。漏洞源於Tomcat AJP協議實現中的缺陷,使得相關引數可控。攻擊者通過向AJP協議埠(預設8009)傳送精心構造的資料,可讀取伺服器webapp目錄下的任意檔案,比如配置檔案、原始碼等。而且如果伺服器端有檔案上傳功能,那麼攻擊者還可能進一步實現遠端程式碼的執行。
參考連結:
https://www.cnvd.org.cn/webinfo/show/5415
影響範圍
受影響產品版本:
Tomcat 6 (已不受維護)
Tomcat 7 Version < 7.0.100
Tomcat 8 Version < 8.5.51
Tomcat 9 Version < 9.0.31
不受影響產品版本:
Tomcat 7 Version >= 7.0.100
Tomcat 8 Version >= 8.5.51
Tomcat 9 Version >= 9.0.31
解決方案
Apache官方已經發布新版本修復了該漏洞,請受影響的使用者儘快升級進行防護,無法立即進行更新的使用者可參考 CNVD通告採取臨時緩解措施。
新版本下載地址:
https://github.com/apache/tomcat/releases
http://tomcat.apache.org/
CNVD 通告:
https://www.cnvd.org.cn/webinfo/show/5415
相關文章
- Apache Tomcat檔案包含漏洞分析ApacheTomcat
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- 檔案包含漏洞(本地包含配合檔案上傳)
- 滲透測試對檔案包含漏洞網站檢測網站
- 蘋果剛剛上線的“搜尋”標籤廣告系列是何方神聖?蘋果
- 檔案上傳漏洞防範-檔案型別檢測型別
- 網站剛上線,就被 DDoS 攻擊炸了!網站
- 剛上線的優美圖片網站,還不快來網站
- 剛剛,阿里雲知行動手實驗室正式開放公測了阿里
- NineData x 阿里雲 正式上線阿里
- 經歷3年不溫不火後,線上劇本殺才剛剛來到風口
- 《長安幻想》將進酒新門派資料片更新,李玉剛合作MV正式上線!
- Tomcat--檔案上傳--檔案包含--(CVE-2017-12615)&&(CVE-2020-1938)Tomcat
- vivoSRC正式上線,挖漏洞贏520心動福利
- Laravel-Echo 線上離線檢測判斷Laravel
- 什麼是檔案包含漏洞?檔案包含漏洞分類!
- kkFileView檔案線上預覽View
- ZBlogPHP如何線上管理檔案?PHP
- 打造10億產品線 綠盟科技魔力防火牆線上釋出防火牆
- 【重磅】綠盟威脅情報中心(NTI)正式上線IPv6情報資料
- 解析漏洞與檔案上傳漏洞—一對好兄弟
- 綠盟科技雲安全綱領(上)
- BSN開放聯盟鏈“安順鏈”正式上線
- 檔案上傳漏洞
- 工行牽手阿里雲,上雲成金融機構剛需阿里
- 7月20日《英雄聯盟電競經理》正式不刪檔上線
- 不止於觀測|阿里雲可觀測技術峰會正式上線阿里
- Sealos 雲主機正式上線,便宜,便宜,便宜!
- 剛上線的阿里達摩院官網,從前端角度看圈點之處阿里前端
- 搬好小板凳,綠盟科技首部安全服務題材微電影正式上線啦
- oracle 線上rename資料檔案Oracle
- 多檔案二維碼生成器線上報名功能,wps線上生成二維碼線上預覽線上分享
- 360BugCloud開源漏洞響應平臺正式上線GCCloud
- Flutter中文網正式上線Flutter
- WEB漏洞——檔案上傳Web
- 呼叫醫生雲! Amazon HealthLake 現已正式上線
- 剛剛!ChatGPT正式成為AI搜尋,免費可用ChatGPTAI
- apache上傳檔案大小限制Apache