服务公告

全部公告 > 安全公告 > Apache Tomcat 文件读取包含漏洞(CVE-2020-1938)

Apache Tomcat 文件读取包含漏洞(CVE-2020-1938)

2020-02-21

一、概要

近日,华为云关注到Apache Tomcat存在文件读取包含漏洞(CVE-2020-1938)。Apache Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,Tomcat 默认开启的AJP服务(8009端口)存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

华为云提醒使用Apache Tomcat的用户及时安排自检并做好安全加固。

参考链接:

https://www.cnvd.org.cn/webinfo/show/5415

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急) 

三、漏洞影响范围

影响版本:

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x 

安全版本:

Apache Tomcat 9.0.31

Apache Tomcat 8.5.51

Apache Tomcat 7.0.100

四、漏洞处置

可采取以下任意一种方法:

1、升级版本:目前官方已在最新版本中修复了该漏洞,请受影响的用户升级至安全版本。

2、关闭AJP服务:注释掉 Tomcat 配置文件 Service.xml中的<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />。

注:修复漏洞前请将资料备份,并进行充分测试。