轉發教育機構資安通報應變小組

Apache Tomcat網站伺服器在版本9.x、8.x與7.x中，存在漏洞(CVE-2020-1938 and CNVD-2020-10487)。

該漏洞可能允許讀寫Tomcat的webapp目錄中的文件。

Apache Tomcat網站伺服器是可運行Java代碼的開源Web服務器。由於所使用的AJP(Apache JServ Protocol)協議設計上存在缺陷，攻擊者可利用預設開啟且未設定外部存取的AJP服務(預設為8009通訊埠)，達到遠端指令執行(Romote Code Execution, RCE)之目的；查看、更改、刪除數據或建立具有完整權限的新帳戶等。此外，如果網站應用程序允許用戶上傳文件，則攻擊者可能會將包含惡意代碼的文件上傳到伺服器，使該系統成為惡意程式下載站(Download Site)。

[影響平台:]

使用Tomcat作為網站伺服器，且版本為:

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x

Red Hat JBoss Web Server (JWS) versions 3.1.7 and 5.2.0 Red Hat JBoss Enterprise Application Platform (EAP) versions 6.x and 7.x Red Hat Enterprise Linux (RHEL) versions 5.x ELS, 6.x, 7.x, and 8.x (as pki-servlet-container, pki-servlet-engine in pki-deps module)

[建議措施:]

1.目前Apache Tomcat官方網站 (http://tomcat.apache.org/ ) 已針對此弱點於月11日與14日針對版本9.x、8.x與7.x版發布更新修補。請各機關儘速更新修補，升級至9.0.31、8.5.51與7.0.100版本。

2.如果不需要Tomcat 網站伺服器全權公開連線，請將Apache JServ協議（AJP）服務作外部存取的權限控制，以避免惡意攻擊。

[參考資料:]

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938

(此通報僅在於告知相關資訊，並非為資安事件)，如果您對此通報的內容有疑問或有關於此事件的建議，歡迎與我們連絡。

教育機構資安通報應變小組

網址：https://info.cert.tanet.edu.tw/

專線電話：07-5250211

網路電話：98400000

E-Mail：service@cert.tanet.edu.tw