剛剛,綠盟雲針對Apache Tomcat檔案包含漏洞的線上檢測正式上線
2月20日,國家資訊保安漏洞共享平臺(CNVD)釋出了一則關於Apache Tomcat存在檔案包含漏洞的安全公告(CNVD-2020-10487,對應CVE-2020-1938)。
綠盟科技安全研究團隊第一時間對此次漏洞進行研究,並緊急上線了線上檢測工具。
您可以登陸綠盟雲https://cloud.nsfocus.com,進入“漏洞威脅-緊急漏洞”,按要求輸入待檢測的站點資訊,點選“立即檢測”即可。
漏洞綜述
2月20日,國家資訊保安漏洞共享平臺(CNVD)釋出了一則關於Apache Tomcat存在檔案包含漏洞的安全公告。公告中表示,存在於Apache Tomcat中的檔案包含漏洞(CNVD-2020-10487,對應CVE-2020-1938)可使攻擊者在未授權的情況下遠端讀取特定目錄下的任意檔案。漏洞源於Tomcat AJP協議實現中的缺陷,使得相關引數可控。攻擊者通過向AJP協議埠(預設8009)傳送精心構造的資料,可讀取伺服器webapp目錄下的任意檔案,比如配置檔案、原始碼等。而且如果伺服器端有檔案上傳功能,那麼攻擊者還可能進一步實現遠端程式碼的執行。
參考連結:
https://www.cnvd.org.cn/webinfo/show/5415
影響範圍
受影響產品版本:
Tomcat 6 (已不受維護)
Tomcat 7 Version < 7.0.100
Tomcat 8 Version < 8.5.51
Tomcat 9 Version < 9.0.31
不受影響產品版本:
Tomcat 7 Version >= 7.0.100
Tomcat 8 Version >= 8.5.51
Tomcat 9 Version >= 9.0.31
解決方案
Apache官方已經發布新版本修復了該漏洞,請受影響的使用者儘快升級進行防護,無法立即進行更新的使用者可參考 CNVD通告採取臨時緩解措施。
新版本下載地址:
https://github.com/apache/tomcat/releases
http://tomcat.apache.org/
CNVD 通告:
https://www.cnvd.org.cn/webinfo/show/5415
相關文章
- Apache Tomcat檔案包含漏洞分析ApacheTomcat
- 滲透測試對檔案包含漏洞網站檢測網站
- 檔案包含漏洞檢測工具fimap
- 剛剛,阿里雲知行動手實驗室正式開放公測了阿里
- 檔案包含漏洞(本地包含配合檔案上傳)
- 剛剛,澳門Google Play應用商店上線啦!Go
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- 蘋果剛剛上線的“搜尋”標籤廣告系列是何方神聖?蘋果
- 檔案上傳漏洞防範-檔案型別檢測型別
- 什麼是檔案包含漏洞?檔案包含漏洞分類!
- 對剛剛涉足遊戲產業的朋友的建議(轉)遊戲產業
- 檔案包含漏洞示例
- 又一家雲遊戲的測試結束了,但麻煩卻剛剛開始遊戲
- OpenCV4.4剛剛釋出!支援YOLOv4、EfficientDet檢測模型,SIFT移至主庫!OpenCVYOLO模型
- 剛剛,5G商用牌照正式釋出,一共四張
- 檔案包含漏洞小結
- [web安全] 檔案包含漏洞Web
- 使用Tomcat5的人過來看看偶剛做的評測Tomcat
- 剛剛,Python 3.10 正式釋出了!我發現了一個可怕的功能...Python
- 突破上傳之檔案包含漏洞以及修復方案
- 剛上線的優美圖片網站,還不快來網站
- 《長安幻想》將進酒新門派資料片更新,李玉剛合作MV正式上線!
- Julia 1.7 剛剛釋出
- 工行牽手阿里雲,上雲成金融機構剛需阿里
- "白話"PHP檔案包含漏洞PHP
- 剛剛,GitHub釋出了Copilot X,增加了全新的對話模式Github模式
- 你的專案剛剛啟動?是時候考慮Globalization了!
- PHP漏洞全解————10、PHP檔案包含漏洞PHP
- 網站漏洞檢測對漏洞檢測修復方案網站
- 檔案包含漏洞(繞過姿勢)
- 解析漏洞與檔案上傳漏洞—一對好兄弟
- 剛剛,李飛飛在谷歌開發者大會宣佈谷歌AI中國中心正式成立谷歌AI
- 目標檢測新正規化!港大同濟伯克利提出Sparse R-CNN,程式碼剛剛開源!CNN
- 騰訊雲容器安全已支援檢測Apache Log4j2漏洞Apache
- 嘀嗒出行IPO:挑戰剛剛開始
- 如何掃描網站漏洞 針對於海洋CMS的漏洞檢查分析網站
- 剛剛,自動駕駛路測國家規範出臺:無人車即將開上更多實際道路自動駕駛
- 【第九章】檔案包含漏洞