Java 是目前 Web 开发中最主流的编程语言,而 Tomcat 是当前最流行的 Java 中间件服务器之一,从初版发布到现在已经有二十多年历史,在世界范围内广泛使用。
此次被发现的Ghostcat漏洞,经研究人员确认,其影响范围覆盖全版本默认配置下的 Tomcat,这意味着它在 Tomcat 里已经潜伏了长达十多年的时间。
Ghostcat(幽灵猫)漏洞,编号为CVE-2020-1938,影响开源Java Servlet容器的版本6、7、8和9。
由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 下部署的所有 webapp 的配置文件或 jsp/jar/class 等源码文件。网站配置文件经常含有诸如数据库、邮箱服务器账号密码等敏感信息,这也就意味着,一旦攻击者获取这些信息,就有可能造成整个企业的重要核心数据被窃取。此外,如果网站应用提供文件上传的功能,攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件(上传的文件本身可以是任意类型的文件,比如图片、纯文本文件等),然后利用 幽灵猫 (Ghostcat )漏洞进行文件包含,从而达到远程代码执行,进一步获取服务器权限等危害。
该漏洞是由网络安全公司Chaitin Tech的研究人员发现的,已于1月3日报告给Apache软件基金会。
2月11日、14日,Tomcat 官方已发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。
在Apache Tomcat上运行的Web服务器,应立即安装最新可用版本,以防止黑客对其进行未授权控制。
如果未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。如果服务器环境中使用到了 Tomcat AJP 协议,则建议将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本,同时为 AJP Connector 配置 secret 来设置 AJP 协议认证凭证。
本文综合整理自媒体报道。
及时掌握网络安全态势 尽在傻蛋网络安全监测系统
本文来源:
如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明
工商执照