【防护方案】Apache Tomcat文件包含漏洞(CVE-2020-1938)

2020-02-20

一、综述

2月20日，国家信息安全漏洞共享平台（CNVD）发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。

公告中表示，存在于Apache Tomcat中的文件包含漏洞（CNVD-2020-10487，对应CVE-2020-1938）可使攻击者在未授权的情况下远程读取特定目录下的任意文件。

漏洞源于Tomcat AJP协议实现中的缺陷，使得相关参数可控。通过向AJP协议端口（默认8009）发送精心构造的数据，可读取服务器webapp目录下的任意文件，比如配置文件、源代码等。而且如果服务器端有文件上传功能，那么还可能进一步实现远程代码的执行。

9455澳门新葡萄娱乐场官网版已在第一时间复现了利用该漏洞读取文件的过程，效果如下图所示:

此外，在服务器上存在上传点的情况下，复现了远程代码执行。

参考链接：

https://www.cnvd.org.cn/webinfo/show/5415

二、漏洞影响范围

Tomcat 6 (已不受维护)
Tomcat 7 Version < 7.0.100
Tomcat 8 Version < 8.5.51
Tomcat 9 Version < 9.0.31

三、影响排查

3.1 本地检测

通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号，用户可通过查看解压后的文件夹名称来确定当前的版本。

如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本。进入Tomcat安装目录的bin目录，输入命令version.bat后，可查看当前的软件版本号。

若当前版本在受影响范围内，则可能存在安全风险。

四、技术防护方案

4.1 官方修复方案

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：

Apache Tomcat 7.0.100 ：http://tomcat.apache.org/download-70.cgi

Apache Tomcat 8.5.51 ：http://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.31 ：http://tomcat.apache.org/download-90.cgi

4.2 临时解决方案

如果相关用户暂时无法进行版本升级，可根据自身情况采用下列防护措施。

若不需要使用Tomcat AJP协议，可直接关闭AJP Connector，或将其监听地址改为仅监听本机localhost。具体操作：

（1）编辑 /conf/server.xml，找到如下行（为 Tomcat 的工作目录）：

（2）将此行注释掉（也可删掉该行）：

（3）保存后需重新启动Tomcat，规则方可生效。

若需使用Tomcat AJP协议，可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

4.3 9455澳门新葡萄娱乐场官网版检测防护建议

4.3.1 9455澳门新葡萄娱乐场官网版检测类产品与服务

1、资产可使用9455澳门新葡萄娱乐场官网版云紧急漏洞在线检测，检测地址如下：

手机端访问地址：

https://cloud.nsfocus.com/megi/holes/hole_ApacheTomcat_2020_02_20.html

PC端访问地址：https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1026

2、内网资产可以使用9455澳门新葡萄娱乐场官网版的远程安全评估系统（RSAS V6）、Web应用漏洞扫描系统（WVSS）、入侵检测系统(IDS)、统一威胁探针（UTS）进行检测。

远程安全评估系统（RSAS V6）系统插件

http://update.nsfocus.com/update/listRsasDetail/v/vulsys

远程安全评估系统（RSAS V6）Web插件

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

Web应用漏洞扫描系统（WVSS）

http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

入侵检测系统（IDS）

http://update.nsfocus.com/update/listIds

http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0

通过上述链接，升级至最新版本即可进行检测！

4.3.2 使用9455澳门新葡萄娱乐场官网版防护类产品进行防护

入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

通过上述链接，升级至最新版本即可进行防护！

4.3.3 检测防护产品升级包/规则版本号

检测产品	升级包/规则版本号
RSAS V6 系统插件包	V6.0R02F01.1709
RSAS V6 Web插件包	V6.0R02F00.1604
WVSSV6 插件包	V6.0R03F00.153
IDS	5.6.8.816、 5.6.9.21979、 5.6.10.21979
UTS	5.6.10.21979

注意：IDPS 569/5610和UTS设备，要检测该漏洞，需要将专业参数的UnknownDisableEncrypt开关置为否。

RSAS V6 系统插件包下载链接：

http://update.nsfocus.com/update/downloads/id/102566

RSAS V6 Web插件包下载链接：

http://update.nsfocus.com/update/downloads/id/102580

WVSSV6插件包下载链接：

http://update.nsfocus.com/update/downloads/id/102537

IDS 升级包下载链接：

5.6.8.816

http://update.nsfocus.com/update/downloads/id/102567

5.6.9.21979

http://update.nsfocus.com/update/downloads/id/102575

5.6.10.21979

http://update.nsfocus.com/update/downloads/id/102576

UTS 升级包下载链接：

http://update.nsfocus.com/update/downloads/id/102579

防护产品	升级包/规则版本号	规则编号
IPS	5.6.8.816、 5.6.9.21979、 5.6.10.21979	24719

IPS 升级包下载链接：