漏洞背景

安全公告編號(hào)：CNTA-2020-0004

成都創(chuàng)新互聯(lián)公司-專(zhuān)業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性?xún)r(jià)比朝陽(yáng)網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式朝陽(yáng)網(wǎng)站制作公司更省心,省錢(qián),快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋朝陽(yáng)地區(qū)。費(fèi)用合理售后完善，10年實(shí)體公司更值得信賴(lài)。

2020年02月20日， 360CERT 監(jiān)測(cè)發(fā)現(xiàn) 國(guó)家信息安全漏洞共享平臺(tái)(CNVD) 收錄了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。

CNVD-2020-10487/CVE-2020-1938是文件包含漏洞，xxx者可利用該高危漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp 配置文件或源代碼等。

受影響的版本包括：Tomcat 6，Tomcat 7的7.0.100以下版本，Tomcat 8的8.5.51以下版本，Tomcat 9的9.0.31以下版本。

CNVD 對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

影響版本

1、Apache Tomcat 9.x < 9.0.31
2、Apache Tomcat 8.x < 8.5.51
3、Apache Tomcat 7.x < 7.0.100
4、Apache Tomcat 6.x

漏洞分析

3.1 AJP Connector

Apache Tomcat服務(wù)器通過(guò)Connector連接器組件與客戶程序建立連接，Connector表示接收請(qǐng)求并返回響應(yīng)的端點(diǎn)。即Connector組件負(fù)責(zé)接收客戶的請(qǐng)求，以及把Tomcat服務(wù)器的響應(yīng)結(jié)果發(fā)送給客戶。

在Apache Tomcat服務(wù)器中我們平時(shí)用的最多的8080端口，就是所謂的Http Connector，使用Http（HTTP/1.1）協(xié)議

在conf/server.xml文件里，它對(duì)應(yīng)的配置為:

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

而 AJP Connector，它使用的是 AJP 協(xié)議（Apache Jserv Protocol）是定向包協(xié)議。因?yàn)樾阅茉?，使用二進(jìn)制格式來(lái)傳輸可讀性文本，它能降低 HTTP 請(qǐng)求的處理成本，因此主要在需要集群、反向代理的場(chǎng)景被使用。

Ajp協(xié)議對(duì)應(yīng)的配置為:

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

Tomcat服務(wù)器默認(rèn)對(duì)外網(wǎng)開(kāi)啟該端口 Web客戶訪問(wèn)Tomcat服務(wù)器的兩種方式:

3.2 代碼分析

漏洞產(chǎn)生的主要位置在處理Ajp請(qǐng)求內(nèi)容的地方

org.apache.coyote.ajp.AbstractAjpProcessor.java#prepareRequest()

這里首先判斷SCAREQ_ATTRIBUTE，意思是如果使用的Ajp屬性并不在上述的列表中，那么就進(jìn)入這個(gè)條件

SC_A_REQ_REMOTE_PORT對(duì)應(yīng)的是AJP_REMOTE_PORT，這里指的是對(duì)遠(yuǎn)程端口的轉(zhuǎn)發(fā)，Ajp13并沒(méi)有轉(zhuǎn)發(fā)遠(yuǎn)程端口，但是接受轉(zhuǎn)發(fā)的數(shù)據(jù)作為遠(yuǎn)程端口。

于是這里我們可以進(jìn)行對(duì)Ajp設(shè)置特定的屬性，封裝為request對(duì)象的Attribute屬性 比如以下三個(gè)屬性可以被設(shè)置

javax.servlet.include.request_urijavax.servlet.include.path_infojavax.servlet.include.servlet_path

3.3 任意文件讀取

當(dāng)請(qǐng)求被分發(fā)到org.apache.catalina.servlets.DefaultServlet#serveResource()方法

調(diào)用getRelativePath方法，需要獲取到request_uri不為null，然后從request對(duì)象中獲取并設(shè)置pathInfo屬性值和servletPath屬性值

接著往下看到getResource方法時(shí)，會(huì)把path作為參數(shù)傳入，獲取到文件的源碼

漏洞演示： 讀取到/WEB-INF/web.xml文件

3.4 命令執(zhí)行

當(dāng)在處理 jsp 請(qǐng)求的uri時(shí)，會(huì)調(diào)用 org.apache.jasper.servlet.JspServlet#service()

最后會(huì)將pathinfo交給serviceJspFile處理，以jsp解析該文件，所以當(dāng)我們可以控制服務(wù)器上的jsp文件的時(shí)候，比如存在jsp的文件上傳，這時(shí)，就能夠造成rce

漏洞演示： 造成rce

修復(fù)建議

Apache Tomcat 6 已經(jīng)停止維護(hù)，請(qǐng)升級(jí)到最新受支持的 Tomcat 版本以免遭受漏洞影響，請(qǐng)更新到如下Tomcat 版本：

下載鏈接如下：

7.0.100版本：https://tomcat.apache.org/download-70.cgi

8.5.51版本：https://tomcat.apache.org/download-80.cgi

9.0.31版本 https://tomcat.apache.org/download-90.cgi

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文標(biāo)題：Tomcat高危漏洞分析和修復(fù)-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://www.rwnh.cn/article14/pcsde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供靜態(tài)網(wǎng)站、商城網(wǎng)站、網(wǎng)站排名、網(wǎng)站設(shè)計(jì)、外貿(mào)建站、關(guān)鍵詞優(yōu)化

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)