::
關於我們
::
服務範圍
::
相關連結
::
 
 
2017 中文版 | 2017 English             2009 中文版 | 2009 English
學生 | 教職員工 | 單位   VPN
IP/網路 狀態查詢 . . .   
 
     
 

張貼日期:2020/04/22

【資安漏洞預警】Tomcat 網站伺服器具有資訊外洩的漏洞(CVE-2020-1938 and CNVD-2020-10487),請各單位儘速確認並更新修補

主旨:【資安漏洞預警】Tomcat 網站伺服器具有資訊外洩的漏洞(CVE-2020-1938 and CNVD-2020-10487),請各單位儘速確認並更新修補。

  • 內容說明:
    • 轉發 ANA事件單通知:TACERT-ANA-2020042112041515。
    • Apache Tomcat網站伺服器在版本9.x、8.x與7.x中,存在漏洞(CVE-2020-1938 and CNVD-2020-10487)。該漏洞可能允許讀寫Tomcat的webapp目錄中的文件。
    • Apache Tomcat網站伺服器是可運行Java代碼的開源Web服務器。由於所使用的AJP(Apache JServ Protocol)協議設計上存在缺陷,攻擊者可利用預設開啟且未設定外部存取的AJP服務(預設為8009通訊埠),達到遠端指令執行(Romote Code Execution, RCE)之目的;查看、更改、刪除數據或建立具有完整權限的新帳戶等。此外,如果網站應用程序允許用戶上傳文件,則攻擊者可能會將包含惡意代碼的文件上傳到伺服器,使該系統成為惡意程式下載站(Download Site)。
  • 影響平台:
    • 使用Tomcat作為網站伺服器,且版本為:
      Apache Tomcat 9.x
  • 建議措施:
    1. 目前Apache Tomcat官方網站 (http://tomcat.apache.org/ ) 已針對此弱點於月11日與14日針對版本9.x、8.x與7.x版發布更新修補。請各機關儘速更新修補,升級至9.0.31、8.5.51與7.0.100版本。
    2. 如果不需要Tomcat 網站伺服器全權公開連線,請將Apache JServ協議(AJP)服務作外部存取的權限控制,以避免惡意攻擊。
  • 參考資料:

計算機與通訊中心
網路系統組 敬啟

 
上一次變更:: 2020/04/22 09:44
 
     
   
FAIL: (the browser should render some flash content, not this).
FAIL: (the browser should render some flash content, not this).
::上一頁 | 下一頁 | 更新 | 列印 | 回首頁 | 清華大學 | 計算機與通訊中心
Copyright (c) 2008-2010 National Tsing Hua University ALL RIGHTS RESERVED
瀏覽次數:1051
 
 
關閉

Warning: file_get_contents(http://www.geoplugin.net/php.gp?ip=3.238.184.78): failed to open stream: HTTP request failed! in /usr/local/dokuwiki2009/lib/plugins/quickstats/action.php on line 457