一、漏洞描述
Tomcat是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。
二、漏洞危害等级
高
三、影响版本
Apache Tomcat 6
Tomcat 7系列 <7.0.100Tomcat 8系列 < 8.5.51Tomcat 9 系列 <9.0.31
四、漏洞原理
tomcat默认的conf/server.xml中配置了2个Connector,一个为8080的对外提供的HTTP协议端口,另外一个就是默认的8009 AJP协议端口,两个端口默认均监听在外网ip。 tomcat在接收ajp请求的时候调用org.apache.coyote.ajp.AjpProcessor来处理ajp消息,prepareRequest将ajp里面的内容取出来设置成request对象的Attribute属性。可以通过此种特性从而可以控制request对象的下面三个Attribute属性javax.servlet.include.request_urijavax.servlet.include.path_infojavax.servlet.include.servlet_path 再通过控制ajp控制的上述三个属性来读取文件,通过操控上述三个属性从而可以读取到应用目录下的任何文件。
五、漏洞复现
这里下载了apache-tomcat-8.5.32版本进行漏洞复现目前网上有多个POC版本流传,这里列局其中两个,还有很多的SRC和安全中心给了验证方法。https://github.com/nibiwodong/CNVD-2020-10487-Tomcat-Ajp-lfi-POChttps://github.com/0nise/CVE-2020-1938
六、漏洞修复
1.更新到安全版本
Apache Tomcat 7.0.100Apache Tomcat 8.5.51Apache Tomcat 9.0.31https://tomcat.apache.org/download-70.cgihttps://tomcat.apache.org/download-80.cgihttps://tomcat.apache.org/download-90.cgi或Github下载:https://github.com/apache/tomcat/releases 2.关闭AJP服务,修改Tomcat配置文件Service.xml,注释掉<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ />3、配置ajp配置中的secretRequired跟secret属性来限制认证