

关于Apache Tomcat文件包含漏洞的紧急预警

互盟数据中心

2020-02-21

导读：Apache Tomcat应用软件被发现存有“文件包含漏洞”(CNVD-2020 -10487)。该软件是目前较为流行的 Web 应用服务器，被应用范围较广，因此威胁影响范围较大。

Warning

近日，Apache Tomcat应用软件被发现存有“文件包含漏洞”(CNVD-2020 -10487)。该软件是目前较为流行的 Web 应用服务器，被应用范围较广，因此威胁影响范围较大。

请各位用户高度重视，加强网络安全防护，切实保障网络系统安全稳定运行！

该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器特定目录下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。

事件名称	Apache Tomcat 文件包含漏洞 CNVD-2020-10487
威胁类型	文件包含	威胁等级	高
受影响的应用版本
Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.31

应急处置建议

一、立即断开被入侵的主机系统的网络连接，防止进一步危害；

二、留存相关日志信息；

三、通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

排查方案

利用代码已经在流传,目前可通过版本号进行判断，在“受影响的应用版本”范围内的都有可能存在该漏洞。

解决方案

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护。

官方下载链接

Apache Tomcat 7.0.100

Apache Tomcat 8.5.51

Apache Tomcat 9.0.31

☼

往期精彩内容

【声明】内容源于网络

互盟数据中心

互盟以领先的“云-网-智”三位一体融合架构为核心引擎，在智算核心技术领域，形成从芯片级算力解耦到模型级参数优化的全栈式AI赋能，构建起覆盖算力服务、智算云脑、数据要素、AI大模型的全场景解决方案矩阵，率先实现跨架构算力资源的毫秒级智能调度。

内容 313

粉丝 0

互盟数据中心互盟以领先的“云-网-智”三位一体融合架构为核心引擎，在智算核心技术领域，形成从芯片级算力解耦到模型级参数优化的全栈式AI赋能，构建起覆盖算力服务、智算云脑、数据要素、AI大模型的全场景解决方案矩阵，率先实现跨架构算力资源的毫秒级智能调度。

总阅读74

粉丝0

内容313