V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lqw3030
V2EX  ›  Java

大家早上有在补 Tomcat 漏洞吗?

  •  
  •   lqw3030 · 2020-02-21 11:37:21 +08:00 · 8905 次点击
    这是一个创建于 1497 天前的主题,其中的信息可能已经有所发展或是发生改变。
    • 亲手测试了下,确实是配置文件能直接被读取到,挺危险的
    • 主要针对 AJP 链接器的,紧急的话可以先把 AJP 连接器注释掉,或者更换 tomcat 版本
    <!-- Define an AJP 1.3 Connector on port 8009 -->
        <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
    

    参考: Apache Tomcat 服务器存在文件包含漏洞 3nNfhR.md.png

    第 1 条附言  ·  2020-02-21 12:38:48 +08:00
    28 条回复    2020-02-22 16:12:02 +08:00
    huyujievip
        1
    huyujievip  
       2020-02-21 11:42:19 +08:00
    在修了在修了
    dbpe
        2
    dbpe  
       2020-02-21 11:45:01 +08:00
    收到...准备修补
    joyhub2140
        3
    joyhub2140  
       2020-02-21 11:46:34 +08:00
    undertow....
    dbpe
        4
    dbpe  
       2020-02-21 11:58:05 +08:00
    不过好像..我们没有开 ajp 的端口....
    @joyhub2140

    大佬...undertow 现在和 tomcat 容器差异大么...我们准备下一步上这个..
    joyhub2140
        5
    joyhub2140  
       2020-02-21 12:11:07 +08:00
    @dbpe 听说低并发性能差不多,高并发性能好一些。当然,我没测试过。。。。
    gz911122
        6
    gz911122  
       2020-02-21 12:14:26 +08:00
    漏洞有相关连接么
    大佬
    zhoudaiyu
        7
    zhoudaiyu  
       2020-02-21 12:27:27 +08:00 via iPhone
    中午接到通知了,但是我们的 server.xml 默认都注释掉了这块
    l4ever
        8
    l4ever  
       2020-02-21 12:50:08 +08:00
    防火墙打开, 这种端口不会让他通过的.
    cnskis
        9
    cnskis  
       2020-02-21 13:29:45 +08:00
    阿里云发邮件提醒来了。
    dbpe
        10
    dbpe  
       2020-02-21 13:37:54 +08:00
    @joyhub2140 好吧...我以为上生产了...我准备搞一版本看下..毕竟用 SPring 的生态,类似 vertx 的 nio..很吸引人.
    nc4697
        11
    nc4697  
       2020-02-21 13:55:10 +08:00
    还好没用 tomcat
    saytesnake
        12
    saytesnake  
       2020-02-21 14:08:45 +08:00
    Jetty 路过
    leonard916
        13
    leonard916  
       2020-02-21 14:36:41 +08:00
    一直都是 Jetty
    salamanderMH
        14
    salamanderMH  
       2020-02-21 14:38:39 +08:00
    刚修了
    leonard916
        15
    leonard916  
       2020-02-21 14:47:44 +08:00
    @joyhub2140 @dbpe 要不試試 wildfly
    xuanbg
        16
    xuanbg  
       2020-02-21 16:16:55 +08:00
    不用修,我们用是 spring boot 2.1.4 内置的 Tomcat。也不用 AJP
    arsgm
        17
    arsgm  
       2020-02-21 16:25:15 +08:00
    测试脚本能贡献一下吗?
    maskerTUI
        18
    maskerTUI  
       2020-02-21 16:28:53 +08:00
    arsgm
        19
    arsgm  
       2020-02-21 16:30:56 +08:00
    @maskerTUI 谢谢。
    Nekonico
        20
    Nekonico  
       2020-02-21 17:32:03 +08:00
    不用 java 的路过一下
    pmispig
        21
    pmispig  
       2020-02-21 18:17:48 +08:00
    现在还有人用 ajp ??
    hantsy
        22
    hantsy  
       2020-02-21 18:27:04 +08:00
    ajp 好久没有弄了,是给 Apache Module 连接的吗?
    hantsy
        23
    hantsy  
       2020-02-21 18:28:22 +08:00
    果然是,https://httpd.apache.org/docs/2.4/mod/mod_proxy_ajp.html。 好多年没有用了,都忘记了。
    qyvlik
        24
    qyvlik  
       2020-02-21 19:13:25 +08:00
    https://github.com/docker-library/tomcat/commit/c94a988c9e74d6a60247e4671a84c95a47d627c9
    docker 的 openjdk 版 tomcat 十来天前就更新到 8.5.51
    seraphv3
        25
    seraphv3  
       2020-02-21 19:43:59 +08:00
    防火墙并没有把 AJP 端口开放出去
    jason19659
        26
    jason19659  
       2020-02-21 22:31:02 +08:00
    Traceback (most recent call last):
    File "a.py", line 295, in <module>
    t = Tomcat(args.target, args.port)
    File "a.py", line 262, in __init__
    self.stream = self.socket.makefile("rb", bufsize=0)
    TypeError: makefile() got an unexpected keyword argument 'bufsize'
    sumarker
        27
    sumarker  
       2020-02-22 08:20:05 +08:00
    没用 tomcat- -
    letitbesqzr
        28
    letitbesqzr  
       2020-02-22 16:12:02 +08:00
    看了下目前部署的,老项目防火墙都没允许该端口,新项目都是 spring boot,不会开启 ajp 了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1066 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 22:42 · PVG 06:42 · LAX 15:42 · JFK 18:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.