Apache Tomcat文件包含漏洞(CVE-2020-1938)处置标准作业程序(SOP)

发布于 作者:

Apache Tomcat文件包含漏洞(CVE-2020-1938)处置标准作业程序(SOP)

原创 SSS 方桥安全漏洞防治中心 2025-02-12 05:00

01

SOP基本信息

  • SOP名称:Apache Tomcat文件包含(CVE-2020-1938)漏洞处置SOP

  • 编写日期:2024-8-26

  • 修订日期:2024-8-28

  • 编写人员:SSS(Linux系统管理员)

  • 审核人员:T小组

  • 修订记录:

  • 初始版本:创建SOP

02

SOP的用途

该SOP旨在指导 Linux 系统管理员处置 Apache Tomcat文件包含漏洞(CVE-2020-1938)确保系统安全性和完整性,并按时提交给安全部门验证

本SOP同样适用于Apache Tomcat需要进行版本升级以解决问题的别的漏洞类型。

03

SOP的目标用户技能要求

  • 熟悉 Linux 系统管理

  • 具备漏洞修复和安全配置的基本知识

  • 熟悉 Apache Tomcat 配置和管理

04

漏洞详细信息

  • 漏洞名称:Apache Tomcat文件包含漏洞(CVE-2020-1938)

  • CVE编号:CVE-2020-1938

  • 严重程度:高危

  • 漏洞描述:Apache Tomcat文件包含漏洞(CVE-2020-1938)。Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者可利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行,给服务器带来极大安全风险。

  • 影响范围:

05

漏洞处置方案

建议受影响的用户,及时升级到安全版本:
– Tomcat 6请升级到Tomcat 7/8/9对应的安全版本;

  • Tomcat 7升级到7.0.100及以上版本;

  • Tomcat 8升级到8.5.51及以上版本;

  • Tomcat 9升级到9.0.31及以上版本;

链接:https://tomcat.apache.org/

【注意事项】

  • 不同系列尽量升级到本系列无漏洞的版本,比如Tomcat 7就升级7系列、8就升级8系列等,尽量不要版本跨度太大,避免出现一些意外情况。

  • 在进行任何修复操作之前,务必备份所有重要数据和配置文件。

  • 升级或补丁应用过程中应尽量减少对业务的影响,尽量在维护窗口内完成所有操作。

  • 遵循官方提供的安装和配置指南进行操作。

  • 在生产环境中升级前,最好在测试环境中先进行测试。

  • 修复漏洞前进行充分测试,以确保系统稳定性和安全性。

06

漏洞修补详细步骤

以下是针对Apache Tomcat文件包含漏洞(CVE-2020-1938)的漏洞处置可操作执行的具体步骤:

  1. 登录到服务器

  2. 确定当前 Tomcat 版本

  3. 检查当前正在运行的 Apache Tomcat 版本:

  4. sh /home/appuser/sop/tomcat/apache-tomcat-7.0.67/
    bin
    /./version.sh

  5. 获取安全补丁或更新

  6. 访问 Apache Tomcat 官方网站或安全公告页面,获取适用于 CVE-2020-1938 漏洞的安全补丁或更新。

  7. 访问Apache Tomcat官方网站,下载相应系列最新的版本https://archive.apache.org/dist/tomcat/

  8. 本文以Tomcat7系列最新版本V7.0.109 为例

  9. https://archive.apache.org/dist/tomcat/tomcat-7/v7.0.109/bin/

  10. 解压新版本Tomcat

  11. 修改解压后新版本执行文件权限

  12. 先进入目录 cd /home/appuser/sop/tomcat/apache-tomcat-7.0.109/bin

  13. 执行命令 chmod 755 *.sh

  14. 关闭war自动部署

  15. 配置shutdown端口

  16. 如前端有负载均衡,配置access 日志需显示用户真实IP

  17. 修改默认端口号和连接器版本信息

  18. 删除新版本Tomcat中自带的webapps里的应用和文档信息

  19. 先进入目录
    cd
    /home/appuser/sop/tomcat/apache-tomcat-7.0.109/webapps

  20. 执行删除命令 rm -rf *

  21. 复制老版本Tomcat中的应用到新版本的Tomcat中

  22. 先进入目录
    cd
    /home/appuser/sop/tomcat/apache-tomcat-7.0.109/webapps

  23. 执行复制命令  
    cp -r /home/appuser/sop/tomcat/apache-tomcat-7.0.67/webapps/* .

  24. 配置文件同步修改

  25. 重新启动 Tomcat 服务:

  26. 验证修复效果:

  27. 记录处置过程

  28. 提交报告

关注回复“
1938
”添加运营助手领取PDF版