大家早上有在补 Tomcat 漏洞吗?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 2066 天前的主题，其中的信息可能已经有所发展或是发生改变。

亲手测试了下，确实是配置文件能直接被读取到，挺危险的
主要针对 AJP 链接器的，紧急的话可以先把 AJP 连接器注释掉，或者更换 tomcat 版本

<!-- Define an AJP 1.3 Connector on port 8009 --> <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

参： Apache Tomcat 服务器存在文件包含漏洞

第 1 条附言 2020-02-21 12:38:48 +08:00

更详细的信息和处理：关于Apache Tomcat存在文件包含漏洞的安全公告

28 条回复 2020-02-22 16:12:02 +08:00

502Chef

2020-02-21 11:42:19 +08:00

在修了在修了

dbpe

2020-02-21 11:45:01 +08:00

收到...准备修补

nxforce

2020-02-21 11:46:34 +08:00

undertow....

dbpe

2020-02-21 11:58:05 +08:00

不过好像..我们没有开 ajp 的端口....
@joyhub2140

大佬...undertow 现在和 tomcat 容器差异大么...我们准备下一步上这个..

nxforce

2020-02-21 12:11:07 +08:00

@dbpe 听说低并发性能差不多，高并发性能好一些。当然，我没测试过。。。。

gz911122

2020-02-21 12:14:26 +08:00

漏洞有相关连接么
大佬

zhoudaiyu

PRO

2020-02-21 12:27:27 +08:00 via iPhone

中午接到通知了，但是我们的 server.xml 默认都注释掉了这块

luckyc

2020-02-21 12:50:08 +08:00

防火墙打开, 这种端口不会让他通过的.

cnskis

2020-02-21 13:29:45 +08:00

阿里云发邮件提醒来了。

dbpe

2020-02-21 13:37:54 +08:00

@joyhub2140 好吧...我以为上生产了...我准备搞一版本看下..毕竟用 SPring 的生态,类似 vertx 的 nio..很吸引人.

nc4697

2020-02-21 13:55:10 +08:00

还好没用 tomcat

saytesnake

2020-02-21 14:08:45 +08:00

Jetty 路过

leonard916

2020-02-21 14:36:41 +08:00

一直都是 Jetty

salamanderMH

2020-02-21 14:38:39 +08:00

刚修了

leonard916

2020-02-21 14:47:44 +08:00

@joyhub2140 @dbpe 要不 wildfly

xuanbg

2020-02-21 16:16:55 +08:00

不用修，我们用是 spring boot 2.1.4 内置的 Tomcat。也不用 AJP

arsgm

2020-02-21 16:25:15 +08:00

测试脚本能贡献一下吗？

maskerTUI

2020-02-21 16:28:53 +08:00

@arsgm https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/

arsgm

2020-02-21 16:30:56 +08:00

@maskerTUI 谢谢。

Nekonico

2020-02-21 17:32:03 +08:00

不用 java 的路过一下

pmispig

2020-02-21 18:17:48 +08:00

现在还有人用 ajp ？？

hantsy

2020-02-21 18:27:04 +08:00

ajp 好久没有弄了，是给 Apache Module 连接的吗？

hantsy

2020-02-21 18:28:22 +08:00

果然是，https://httpd.apache.org/docs/2.4/mod/mod_proxy_ajp.html。好多年没有用了，都忘记了。

qyvlik

2020-02-21 19:13:25 +08:00

https://github.com/docker-library/tomcat/commit/c94a988c9e74d6a60247e4671a84c95a47d627c9
docker 的 openjdk 版 tomcat 十来天前就更新到 8.5.51

seraphv3

2020-02-21 19:43:59 +08:00

防火墙并没有把 AJP 端口开放出去

jason19659

2020-02-21 22:31:02 +08:00

Traceback (most recent call last):
File "a.py", line 295, in <module>
t = Tomcat(args.target, args.port)
File "a.py", line 262, in __init__
self.stream = self.socket.makefile("rb", bufsize=0)
TypeError: makefile() got an unexpected keyword argument 'bufsize'

sumarker

PRO

2020-02-22 08:20:05 +08:00

没用 tomcat- -

letitbesqzr

2020-02-22 16:12:02 +08:00

看了下目前部署的，老项目防火墙都没允许该端口，新项目都是 spring boot，不会开启 ajp 了