2020年2月20日,国家信息安全漏洞共享平台(CNVD)发布关于Apache Tomcat的安全公告,Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。
解决方案
将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复
禁用AJP协议
编辑 /conf/server.xml,找到如下行:
将此行注释掉(也可删掉该行):
- 配置secret来设置AJP协议的认证凭证。
例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值)
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
回到Confluence :
2月23日,Confluence更新版本是7.3.2,我们可以在/opt/atlassian/confluence/bin目录下,执行 ./version.sh
Server startup logs are located in /opt/atlassian/confluence/logs/catalina.out
Using Java: /opt/atlassian/confluence/jre//bin/java
2020-02-28 18:45:56,953 INFO [main] [atlassian.confluence.bootstrap.SynchronyProxyWatchdog] A Context element for ${confluence.context.path}/synchrony-proxy is found in /opt/atlassian/confluence/conf/server.xml. No further action is required
Using CATALINA_BASE: /opt/atlassian/confluence
Using CATALINA_HOME: /opt/atlassian/confluence
Using CATALINA_TMPDIR: /opt/atlassian/confluence/temp
Using JRE_HOME: /opt/atlassian/confluence/jre/
Using CLASSPATH: /opt/atlassian/confluence/bin/bootstrap.jar:/opt/atlassian/confluence/bin/tomcat-juli.jar
Using CATALINA_PID: /opt/atlassian/confluence/work/catalina.pid
NOTE: Picked up
JDK_JAVA_OPTIONS: –add-opens=java.base/java.lang=ALL-UNNAMED –add-opens=java.base/java.io=ALL-UNNAMED –add-opens=java.rmi/sun.rmi.transport=ALL-UNNAMED
Server version: Apache Tomcat/9.0.27
Server built: Oct 7 2019 09:57:22 UTC
Server number: 9.0.27.0
OS Name: Linux
OS Version: 2.6.32-573.el6.x86_64
Architecture: amd64
JVM Version: 11.0.5+10
JVM Vendor: AdoptOpenJDK
可以看到7.3.2自带的tomcat版本是9.0.27,是受影响的版本(9.0.31以前的版本),但检查server.xml,可以发现此文件已经被修改为不支持AJP协议,所以在atlassian升级tomcat版本之前,我们也不用过度担心这个问题。
原创文章,转载请注明: 转载自混沌