如何進(jìn)行Apache Tomcat文件包含漏洞CNVD-2020-10487通告

如何進(jìn)行Apache Tomcat文件包含漏洞CNVD-2020-10487通告，針對這個問題，這篇文章詳細(xì)介紹了相對應(yīng)的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

0x00 漏洞背景

2020年02月20日， 360CERT 監(jiān)測發(fā)現(xiàn) 國家信息安全漏洞共享平臺(CNVD) 收錄了CNVD-2020-10487Apache Tomcat文件包含漏洞

Tomcat是由Apache軟件基金會屬下Jakarta項目開發(fā)的Servlet容器，按照Sun Microsystems提供的技術(shù)規(guī)范，實現(xiàn)了對Servlet和JavaServer Page（JSP）的支持。由于Tomcat本身也內(nèi)含了HTTP服務(wù)器，因此也可以視作單獨的Web服務(wù)器。CNVD-2020-10487是文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp 配置文件、源代碼等。

0x01 風(fēng)險等級

360CERT對該漏洞進(jìn)行評定

360CERT建議廣大用戶及時關(guān)注Tomcat版本更新。做好資產(chǎn) 自查/自檢/預(yù)防 工作，以免遭受攻擊。

0x02 影響版本

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

0x03 修復(fù)建議

更新到如下Tomcat版本

Apache Tomcat 6 已經(jīng)停止維護(hù)，請升級到最新受支持的 Tomcat 版本以免遭受漏洞影響。

請廣大用戶時刻關(guān)注 Apache Tomcat? - Welcome! 獲取最新的Tomcat Release版本，以及 apache/tomcat: Apache Tomcat 獲取最新的 git 版本。

0x04 相關(guān)空間測繪數(shù)據(jù)

360安全大腦-Quake網(wǎng)絡(luò)空間測繪系統(tǒng)通過對全網(wǎng)資產(chǎn)測繪，發(fā)現(xiàn) Apache Tomcat 在國內(nèi)存在大范圍的使用情況。具體分布如下圖所示。

關(guān)于如何進(jìn)行Apache Tomcat文件包含漏洞CNVD-2020-10487通告問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識。