[产品更新]【Tomcat】AJP协议缺陷高危漏洞解决方案

新人帖
2020-2-24 14:56:42
2410
      国家信息安全漏洞共享平台(CNVD)在2月20日发布了《关于Apache Tomcat存在文件包含漏洞的安全公告》:https://www.cnvd.org.cn/webinfo/show/5415

      该漏洞能够利用Tomcat AJP协议缺陷而读取到服务器webapp下的任意文件,CNVD对该漏洞的综合评级为“高危”。

      受影响的tomcat版本范围:
  • Apache Tomcat 6
  • Apache Tomcat 7 < 7.0.100
  • Apache Tomcat 8 < 8.5.51
  • Apache Tomcat 9 < 9.0.31


     经过检查,永洪产品安装包自带的tomcat已禁掉了AJP协议,故不存在该安全漏洞,但为了提升产品安全性,产品本周会对产品各个版本的tomcat进行升级(8.8/8.5/8.0/7.5)。


      虽然产品无安全漏洞,不排除有使用自己的tomcat或启用了AJP协议等情况,因此建议按照CNVD官方建议处理:

    1.   如未使用Tomcat AJP协议:
    1)如未使用 Tomcat AJP 协议,可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。
    2)如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。

        【具体操作】
      (1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):
            <Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
      (2)将此行注释掉(也可删掉该行):
            <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->   
      (3)保存后需重新启动,规则方可生效。

     2.   如果使用了Tomcat AJP协议(永洪产品未使用,但不排除客户因定制需要而使用):
     1)建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。

          例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
        <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
      

     2)如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。
          例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
        <Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />







分享至:微博微信
收藏
0 条回帖
需要登陆后才可进行回复 登录

返回顶部