【防护方案】Apache Tomcat文件包含漏洞(CVE-2020-1938)

2020-02-20

一、综述

2月20日，国家信息安全漏洞共享平台（CNVD）发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告。

公告中表示，存在于Apache Tomcat中的文件包含漏洞（CNVD-2020-10487，对应CVE-2020-1938）可使攻击者在未授权的情况下远程读取特定目录下的任意文件。

漏洞源于Tomcat AJP协议实现中的缺陷，使得相关参数可控。通过向AJP协议端口（默认8009）发送精心构造的数据，可读取服务器webapp目录下的任意文件，比如配置文件、源代码等。而且如果服务器端有文件上传功能，那么还可能进一步实现远程代码的执行。

海王捕鱼已在第一时间复现了利用该漏洞读取文件的过程，效果如下图所示:

此外，在服务器上存在上传点的情况下，复现了远程代码执行。

参考链接：

https://www.cnvd.org.cn/webinfo/show/5415

二、漏洞影响范围

Tomcat 6 (已不受维护)
Tomcat 7 Version < 7.0.100
Tomcat 8 Version < 8.5.51
Tomcat 9 Version < 9.0.31

三、影响排查

3.1 本地检测

通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号，用户可通过查看解压后的文件夹名称来确定当前的版本。

如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本。进入Tomcat安装目录的bin目录，输入命令version.bat后，可查看当前的软件版本号。

若当前版本在受影响范围内，则可能存在安全风险。

四、技术防护方案

4.1 官方修复方案

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：

Apache Tomcat 7.0.100 ：http://tomcat.apache.org/download-70.cgi

Apache Tomcat 8.5.51 ：http://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.31 ：http://tomcat.apache.org/download-90.cgi

4.2 临时解决方案

如果相关用户暂时无法进行版本升级，可根据自身情况采用下列防护措施。

若不需要使用Tomcat AJP协议，可直接关闭AJP Connector，或将其监听地址改为仅监听本机localhost。具体操作：

（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：

（2）将此行注释掉（也可删掉该行）：

（3）保存后需重新启动Tomcat，规则方可生效。

若需使用Tomcat AJP协议，可根据使用版本配置协议属性设置认证凭证。

使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TO MCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用户可为AJP Connector配置requiredSecret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TO MCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

4.3 海王捕鱼检测防护建议

4.3.1 海王捕鱼检测类产品与服务

1、资产可使用绿盟云紧急漏洞在线检测，检测地址如下：

手机端访问地址：

https://cloud.nsfocus.com/megi/holes/hole_ApacheTomcat_2020_02_20.html

PC端访问地址：https://cloud.nsfocus.com/#/krosa/views/initcdr/productandservice?service_id=1026

2、内网资产可以使用海王捕鱼的远程安全评估系统（RSAS V6）、Web应用漏洞扫描系统（WVSS）、入侵检测系统(IDS)、统一威胁探针（UTS）进行检测。

远程安全评估系统（RSAS V6）系统插件

http://update.nsfocus.com/update/listRsasDetail/v/vulsys

远程安全评估系统（RSAS V6）Web插件

http://update.nsfocus.com/update/listRsasDetail/v/vulweb

Web应用漏洞扫描系统（WVSS）

http://update.nsfocus.com/update/listWvssDetail/v/6/t/plg

入侵检测系统（IDS）

http://update.nsfocus.com/update/listIds

http://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0

通过上述链接，升级至最新版本即可进行检测！

4.3.2 使用海王捕鱼防护类产品进行防护

入侵防护系统（IPS）

http://update.nsfocus.com/update/listIps

通过上述链接，升级至最新版本即可进行防护！

4.3.3 检测防护产品升级包/规则版本号

检测产品	升级包/规则版本号
RSAS V6 系统插件包	V6.0R02F01.1709
RSAS V6 Web插件包	V6.0R02F00.1604
WVSSV6 插件包	V6.0R03F00.153
IDS	5.6.8.816、 5.6.9.21979、 5.6.10.21979
UTS	5.6.10.21979

注意：IDPS 569/5610和UTS设备，要检测该漏洞，需要将专业参数的UnknownDisableEncrypt开关置为否。

RSAS V6 系统插件包下载链接：

http://update.nsfocus.com/update/downloads/id/102566

RSAS V6 Web插件包下载链接：

http://update.nsfocus.com/update/downloads/id/102580

WVSSV6插件包下载链接：

http://update.nsfocus.com/update/downloads/id/102537

IDS 升级包下载链接：

5.6.8.816

http://update.nsfocus.com/update/downloads/id/102567

5.6.9.21979

http://update.nsfocus.com/update/downloads/id/102575

5.6.10.21979

http://update.nsfocus.com/update/downloads/id/102576

UTS 升级包下载链接：

http://update.nsfocus.com/update/downloads/id/102579

防护产品	升级包/规则版本号	规则编号
IPS	5.6.8.816、 5.6.9.21979、 5.6.10.21979	24719

IPS 升级包下载链接：