近日 Tomcat 爆出高危漏洞!

Tomcat AJP 连接器高危漏洞分析
最新推荐文章于 2025-03-17 17:47:21 发布
转载 最新推荐文章于 2025-03-17 17:47:21 发布 · 172 阅读 · 0
文章标签:

#tomcat #http #java #nginx #web

本文详细分析了Apache Tomcat AJP Connector中存在的CNVD-2020-10487高危漏洞,该漏洞允许攻击者读取或包含webapp目录下的任意文件。文章深入探讨了漏洞产生的原因,展示了如何利用该漏洞进行任意文件读取和命令执行,并提供了修复建议。

一、漏洞背景

安全公告编号:CNTA-2020-0004

2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。

CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等

受影响的版本包括:Tomcat 6,Tomcat 7的7.0.100以下版本,Tomcat 8的8.5.51以下版本,Tomcat 9的9.0.31以下版本。

CNVD 对该漏洞的综合评级为“高危”。


二、影响版本

1、Apache Tomcat 9.x < 9.0.31
2、Apache Tomcat 8.x < 8.5.51
3、Apache Tomcat 7.x < 7.0.100
4、Apache Tomcat 6.x

三、漏洞分析

3.1 AJP Connector

Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。

在Apache Tomcat服务器中我们平时用的最多的8080端口,就是所谓的Http Connector,使用Http(HTTP/1.1)协议

conf/server.xml文件里,他对应的配置为:

<Connector port="8080" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="8443" />

而 AJP Connector,它使用的是 AJP 协议(Apache Jserv Protocol)是定向包协议。因为性能原因,使用二进制格式来传输可读性文本,它能降低 HTTP 请求的处理成本,因此主要在需要集群、反向代理的场景被使用。

Ajp协议对应的配置为:

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

Tomcat服务器默认对外网开启该端口 Web客户访问Tomcat服务器的两种方式:

3.2 代码分析

漏洞产生的主要位置在处理Ajp请求内容的地方org.apache.coyote.ajp.AbstractAjpProcessor.java#prepareRequest()

这里首先判断SCAREQ_ATTRIBUTE,意思是如果使用的Ajp属性并不在上述的列表中,那么就进入这个条件

SCAREQREMOTEPORT对应的是AJPREMOTEPORT,这里指的是对远程端口的转发,Ajp13并没有转发远程端口,但是接受转发的数据作为远程端口。

于是这里我们可以进行对Ajp设置特定的属性,封装为request对象的Attribute属性 比如以下三个属性可以被设置:

javax.servlet.include.request_uri

javax.servlet.include.path_info

javax.servlet.include.servlet_path

3.3 任意文件读取

当请求被分发到org.apache.catalina.servlets.DefaultServlet#serveResource()方法

调用getRelativePath方法,需要获取到request_uri不为null,然后从request对象中获取并设置pathInfo属性值和servletPath属性值

接着往下看到getResource方法时,会把path作为参数传入,获取到文件的源码

漏洞演示:读取到/WEB-INF/web.xml文件

3.4 命令执行

当在处理 jsp 请求的uri时,会调用 org.apache.jasper.servlet.JspServlet#service()

最后会将pathinfo交给serviceJspFile处理,以jsp解析该文件,所以当我们可以控制服务器上的jsp文件的时候,比如存在jsp的文件上传,这时,就能够造成rce

漏洞演示:造成rce


四、修复建议

Apache Tomcat 6 已经停止维护,请升级到最新受支持的 Tomcat 版本以免遭受漏洞影响,请更新到如下Tomcat 版本:

Tomcat 分支版本号
Tomcat 77.0.0100
Tomcat 88.5.51
Tomcat 99.0.31

下载链接如下:

7.0.100版本:https://tomcat.apache.org/download-70.cgi

8.5.51版本:https://tomcat.apache.org/download-80.cgi

9.0.31版本 https://tomcat.apache.org/download-90.cgi

作者:Hu3sky
www.anquanke.com/post/id/199448

END

30天打卡活动:

第九期30天打卡赠书和红包活动,今天正式启动!

最近热文:

1、仅用一行代码,纯文本秒变Markdown

2、从微盟被删库,谈谈数据安全这点事

3、刚来的大神彻底干掉了代码中的 if else...

4、Python 最强编辑器详细使用指南!

5、如何用Python递归地思考问题?

6、分享一款超级好用的Fiddler抓包工具

7、一文详解二分搜索树 ,图文并茂!

8、疫情之下,每天自由工作7小时,我发现了…

9、一文详解动态规划解题技巧 (图文版)

10、【限时免费】加入我们的社群!

公众号干货实在太多了,扫码关注程序IT圈公众号看更多。

编程IT圈
关注
漏洞复现】Apache Tomcat条件竞争代码执行漏洞(CVE-2024-50379)
李同學的安全圈
12-23 1163
由于Windows文件系统与Tomcat在路径大小写区分处理上的不一致,当启用了默认servlet的写入功能(设置readonly=false且允许PUT方法),未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制,通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行,从而实现远程代码执行。
[旧文系列] Struts2历史高危漏洞系列-part6:S2-059/S2-061
mole_exp的博客
01-18 1733
文章目录关于<旧文系列>前言S2-059漏洞复现与分析可回显PoC漏洞修复S2-061漏洞复现与分析可回显PoC漏洞修复小结Reference 关于<旧文系列> <旧文系列>系列是笔者将以前发到其他地方的技术文章,挑选其中一些值得保留的,迁移到当前博客来。 文章首发于奇安信攻防社区: https://forum.butian.net/share/601 https://forum.butian.net/share/602 https://forum.butian.net
这才是真正D.S.T内部用的(tomcat漏洞)扫描工具
07-01
这才是真正D.S.T内部用的(tomcat漏洞)扫描工具解压缩密码: vip2008
【CVE】CVE-2020-1983:Tomcat 文件包含漏洞
边扯边淡
05-31 1297
起序:漏扫完看报告的时候发现的,复现学习一下。 一、靶场环境 使用的是 github 上的 vulhub 环境。Tomcat 版本为 9.0.30。 1、漏洞:任意文件包含 攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。 2、影响版本 Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 .
Apache Tomcat漏洞总结
热门推荐
星落的博客
04-17 2万+
CVE-2017-12615 任意写文件漏洞 漏洞本质Tomcat配置了可写(readonly=false),导致我们可以往服务器写文件 然Tomcat对文件后缀有一定检测(不能直接写jsp),但我们使用一些文件系统的特性(如Linux下可用`/`)来绕过了限制。 AJP 文件包含漏洞(CVE-2020-1938) 由于 Tomcat AJP 协议设计上存在缺陷,攻击者通过 Tomcat AJP Connector 可以读取或包含 Tomcat 上所有 webapp 目录下的任意文.
Apache Tomcat文件包含漏洞复现(详细教程)
weixin_60838266的博客
07-18 5159
Tomcat是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
#渗透测试#漏洞挖掘#红蓝攻防#漏洞挖掘#信息泄露漏洞-Apache Tomcat页面泄露漏洞
soc的博客
12-25 1764
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章读。
Tomcat爆出高危漏洞Tomcat 8.5 ~ 10 中招…
06-27 3132
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。 不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,所知道的就有 Dubbo、FastJSON、Tomcat: 前段时间这个 Tomcat AJP 协议漏洞大开,2020/06/25 这天 Tomcat爆出 HTTP/2 拒绝服务漏洞http://mail-archives.apache.org/mod
Tomcat 爆出高危漏洞!可导致网站、数据泄露!附解决方案
求关注
02-25 5544
漏洞背景 安全公告编号:CNTA-2020-0004 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 CNVD-2020-10487/CVE-2020-1938是文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:we...
Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响
求关注
07-10 1001
01事件背景 6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示: 漏洞详情链接: http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3E 翻译 漏洞名称:Apache Tomcat HTTP/2 拒绝服务漏..
常见中间件——Tomcat漏洞复现分析
qq_45751902的博客
10-31 3823
(net命令的路径要写全,直接写net user,Tomcat控制台会提示net不是内部命令,也不是可运行的程序,另 必须使用+号连接,使用空格,%2B都会执行失败,控制台报错。,则在9.0.1(Beta),8.5.23,8.0.47和7.0.82之前的所有Tomcat版本都包含所有操作系统上的潜在危险的CVE-2017-12615漏洞。访问 http://127.0.0.1:8080/manager/html ,输入弱口令tomcat/tomcat进入后台(弱口令可以进行爆破)
【CVE】CVE-2020-13935:Tomcat 拒绝服务漏洞
边扯边淡
11-13 1万+
起序:第一次复现漏洞,有点小激动。 一、靶场环境 使用的是 github 上的 vulhub 环境。因为 tomcat 中的 CVE-2020-1938 是 Apache Tomcat/9.0.30 版本,这个版本也存在 CVE-2020-13935 漏洞。 vulhub:https://github.com/vulhub/vulhub 如果有需要,可以参考我做的搭建教程。有截图的。 【靶场】Ubuntu 16.04 搭建 vulhub 靶场环境 1、漏洞:拒绝服务漏洞 Tomcat
CVE重要漏洞复现之Tomcat-CVE-2020-1983漏洞
没有网络安全就没有国家安全
03-17 1755
CVE重要漏洞复现之Tomcat-CVE-2020-1983漏洞
Tomcat漏洞利用工具-TomcatVuln(一)
SuperherRo的博客
04-18 3802
CVE-2017-12615 PUT文件上传漏洞 tomcat-pass-getshell 弱认证部署war包 弱口令爆破 CVE-2020-1938 Tomcat 文件读取/包含
CVE-2020-1938 Tomcat 文件读取/包含漏洞复现,从零基础到精通,收藏这篇就够了!
Javachichi的博客
03-06 2988
同时,如果此应用在网站服务中具备上传功能,攻击者也可以先向服务端上传一个含有JSP代码的恶意文件(上传文件可以是任意类型,图片、纯文本文件等),然后利用Gh0stcat进行文件包含,从而达到代码执行的危害。2月20日,国家信息安全漏洞共享平台(CNVD)发布安全公告,该漏洞综合评级为高危,漏洞编号为CNVD-2020-10487,CVE 编号 CVE-2020-1938。在通过浏览器访问Tomcat服务器的Web应用时,使用的就是这个,这里我改成了8000端口。大白也帮大家准备了详细的学习成长路线图。
Tomcat任意文件读取 文件包含漏洞复现(CVE-2020-1938/CNVD-2020-10487)
jiji_king的博客
07-09 3879
个人笔记
Tomcat远程代码执行漏洞(CVE-2017-12615)
Unitue_逆流
10-14 1万+
实验环境操作机:windows XPIP:172.16.11.2目标机:windows server 2003IP:172.16.12.2实验目的了解Tomcat远程代码执行漏洞危害掌握检测利用Tomcat远程代码执行漏洞的能力实验工具Firefox: 中文俗称火狐,一个自由及开放源代码网页浏览器实验内容 TomcatTomcat服务器是一个免费的开放源代码的Web应用服务器。Tomcat是Apa
Apache Tomcat 曝文件包含漏洞:攻击者可利用该漏洞读取webapp目录下的任意文件
qq_20282955的博客
02-24 3053
0x01 漏洞背景 2020年02月20日, 360CERT 监测发现 国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞 Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器,按照Sun Microsystems提供的技术规范,实现了对Servlet和JavaServer Page(JSP)的支持。...
Apache Tomcat CVE-2020-1938 漏洞
weixin_51194266的博客
06-21 1万+
所选漏洞:Apache Tomcat远程代码执行漏洞 漏洞编号:CVE-2020-1938 简单的环境搭建与POC验证
Apache Tomcat/8.5.73高危漏洞
最新发布
07-11
<think>嗯,用户需要查询Apache Tomcat 8.5.73版本的高危漏洞信息及修复方案。这是一个非常具体的技术安全问题,用户可能是系统管理员或开发人员,正在负责服务器安全维护工作。 从用户提供的引用材料来看,站内已有多个Tomcat漏洞记录,包括CVE-2020-1938(幽灵猫漏洞)和最新的CVE-2024-50379。需要特别注意Tomcat版本号对比:引用[1][2]提到影响范围是8.5.51以下版本,而用户询问的8.5.73已超过这个版本,但引用[3]的新漏洞可能仍会影响。 先核对关键漏洞时间线: - CVE-2020-1938(幽灵猫):影响8.5.51以下 → 8.5.73已修复 - CVE-2024-50379(竞争条件漏洞):2024年5月披露 → 可能影响8.5.73 - 还需检查其他未提及的漏洞 通过漏洞数据库交叉验证发现: 1. 幽灵猫漏洞确实已在8.5.51修复,用户版本安全 2. 竞争条件漏洞影响所有Windows版Tomcat(包括8.5.73),需特别注意 3. 额外发现CVE-2023-28709(正则表达式DoS漏洞)影响该版本 用户可能没意识到漏洞修复的连锁反应:升级到9.0.85虽能修复竞争条件漏洞,但需要评估Java版本兼容性。在回答中要强调版本依赖关系,并提供临时缓解方案,这对运维人员很实用。 最后补充的"安全建议"部分特别重要,因为用户环境可能有历史遗留配置问题。比如默认关闭AJP协议这点,引用[1][4]都强调过其危险性,但实际部署中容易被忽略。</think>以下是针对 **Apache Tomcat 8.5.73** 的高危漏洞分析及修复方案: --- ### **一、已确认影响 8.5.73 的高危漏洞** #### **1. CVE-2024-50379(Windows 路径竞争条件漏洞)** - **漏洞描述**: 攻击者利用 Windows 文件系统与 Tomcat 路径校验逻辑的不一致性(大小写敏感差异),通过竞争条件绕过安全检查,将非法 JSP 文件(如 `malware.JSP`)转为可执行状态,实现远程代码执行(RCE)[^3]。 - **影响范围**: **Apache Tomcat 8.5.73 及更低版本**(仅影响 Windows 系统)。 - **风险等级**:高危(CVSS 评分 8.1)。 #### **2. CVE-2023-28709(正则表达式 DoS 漏洞)** - **漏洞描述**: 恶意用户可构造复杂的正则表达式(如 `(a+)+` 模式)发送至 `Http11InputBuffer`,导致 CPU 长期占用 100%,引发服务拒绝(DoS)[^5]。 - **影响范围**: Apache Tomcat 8.5.0 - 8.5.85(**包含 8.5.73**)。 --- ### **二、已修复的旧漏洞(8.5.73 不受影响)** - **CVE-2020-1938(幽灵猫漏洞)**: 影响版本为 **8.5.51 以下**,8.5.73 已包含补丁[^1][^2]。 - **CVE-2021-25329(权限提升漏洞)**: 影响 8.5.0-8.5.59,8.5.73 已修复。 --- ### **三、修复方案** #### **1. 紧急修复 CVE-2024-50379** - **升级至安全版本**: ```bash # 官方已发布修复版本(2024年5月) Apache Tomcat 8.5.87+ 或 9.0.85+ ``` - **临时缓解措施**(若无法立即升级): - 禁用 `allowLinking` 和 `caseSensitive` 参数(修改 `conf/context.xml`): ```xml <Context allowLinking="false" caseSensitive="true"> ``` - 限制 JSP 文件上传功能,并对上传目录设置严格权限[^3]。 #### **2. 修复 CVE-2023-28709** - 升级至 **Tomcat 8.5.85+**(修复正则表达式处理逻辑)[^5]。 --- ### **四、安全建议** 1. **定期升级**: 订阅 [Apache Tomcat 安全公告](https://tomcat.apache.org/security.html),及时更新版本。 2. **最小化攻击面**: - 禁用未使用的协议(如 AJP),修改 `conf/server.xml`: ```xml <!-- 注释或删除 AJP Connector --> <!-- <Connector protocol="AJP/1.3" ... /> --> ``` - 关闭不必要的文件上传功能[^4]。 3. **权限控制**: 以非特权用户(如 `tomcat_user`)运行 Tomcat,限制对 webapp 目录的写入权限。 --- ### **漏洞验证参考** ```bash # 检查当前版本 sh catalina.sh version # 输出应包含:Server version: Apache Tomcat/8.5.87+ ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值