各二级院(部)、处(室、中心、馆):

  近日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat 文件包含漏洞(CNVD -2020-10487/CVE-2020-1938),攻击者利用此漏洞可在未授权的情况下远程读取特定目录下的任意文件。Tomcat是目前较为流行的Web应用服务器,被普遍使用在轻量级Web应用服务构架中,因此该漏洞影响范围较广。为确保疫情防控重点时期我市网络安全稳定,请相关单位及时采取防护措施修复此漏洞。

  一、安全威胁情况
  (一)Apache Tomcat文件包含漏洞情况
  根据分析,该漏洞是由于Tomcat AJP协议存在缺陷而导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。
  受该漏洞影响的版本为:
  Apache Tomcat 6;
  Apache Tomcat 7<7.0.100;
  Apache Tomcat 8<8.5.51;
  Apache Tomcat 9<9.0.31。
  (二)漏洞检测方式
  通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。
  如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。进入Tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。
  若当前版本在受影响范围内,则可能存在安全风险。

  二、漏洞处置建议(见附件)

  各单位遇有相关安全问题,请及时与信息中心联系。

信息中心
2020年3月3日
ApacheTomcat漏洞处置建议.doc