前几天我们网友应该收到服务器商后台安全提醒,关于Apache Tomcat 存在的安全问题,如果我们有在使用且涉及到其中的几个镜像的话,我们需要及时的完成升级补丁确保主机WEB系统的安全。主要的原理问题是因为Tomcat AJP协议存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取主机webapp下的任意文件。
第一、涉及的镜像版本环境
Tomcat 6.X Tomcat 7.X3、保存后需重新启动Tomcat,规则方可生效。
B – 如果使用了Tomcat AJP协议
建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
如无法立即进行版本更新、或者是更老版本的用户,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改 为一个安全性高、无法被轻易猜解的值):
同时,如果我们我们主机有设置安全组的,可以单独设置或者限制非我们使用的端口来限制,这个对于严格控制端口的项目来说问题不大,因为我们就开启自己需要的几个端口。
参考文献:https://www.cnvd.org.cn/webinfo/show/5415
推荐站内搜索:香港服务器租用、购买已备案域名、联通虚拟主机、个人注册域名、域名注册查询、全能虚拟主机上海虚拟主机、香港vps主机租用、个人虚拟主机、免费云服务器、
