[渗透]CVE-2020-1938/CNVD-2020-10487:Apache Tomcat AJP连接器远程执行代码漏洞

原创 于 2020-02-22 17:11:55 发布 · 3.4k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了影响多个版本的Apache Tomcat的AJP协议文件包含漏洞,包括受漏洞影响的版本、未受影响的版本、临时禁用AJP协议的方法以及修复方案。建议用户更新至最新稳定版本,或通过配置限制认证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

受影响版本

Apache Tomcat 6
Apache Tomcat 7x <7.0.100
Apache Tomcat 8x <8.5.51
Apache Tomcat 9x <9.0.31

未受影响版本

Tomcat 7.0.0100
Tomcat 8.5.51
Tomcat 9.0.31

修复方案

  • 临时禁用AJP协议端口,在conf/server.xm l配置文件中注释掉<Connector port=“8009” protocol="AJP/1.3"redirectPort=“8443” />

  • 配置ajp配置中的secretRequired跟secret属性来限制认证

  • 官方下载最新版下载地址:

    https://tomcat.apache.org/download-70.cgi
    https://tomcat.apache.org/download-80.cgi
    https://tomcat.apache.org/download-90.cgi
    https://github.com/apache/tomcat/releases

POC

https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
在这里插入图片描述
参考文章:
关于Apache Tomcat存在文件包含漏洞的安全公告

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值