Apache Tomcat文件包罗漏洞分析

宣布时间 2020-02-21

一、漏洞概述

2020年2月20日，国家信息宁静漏洞共享平台（CNVD）宣布关于Apache Tomcat的宁静通告，Apache Tomcat文件包罗漏洞（CNVD-2020-10487，对应CVE-2020-1938）。Tomcat AJP协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过结构特定参数，读取服务器webapp下的任意文件。若服务器端同时存在文件上传功效，攻击者可进一步实现远程代码的执行。

二、漏洞分析

通过对Apache Tomcat源码进行分析，发现Tomcat在处置ajp协议时存在漏洞，可通过调用request.setAttribute为Tomcat设置任意request属性，如下图所示：

东森·(中国区)官方网站

通过分析复现发现Tomcat ajp协议存在web目录下任意文件读取漏洞以及JSP文件包罗漏洞。当ajp URI设置为非jsp路径时，Tomcat会调用DefaultServlet处置，此时会导致web目录任意文件读取漏洞。当ajp URI设置为jsp路径时，Tomcat会调用JspServlet处置，此时会导致JSP文件包罗漏洞。

2.1 Web目录任意文件读取漏洞

当ajp URI设置为非jsp路径时，Tomcat会调用DefaultServlet处置,我们需要控制如下两个属性：

javax.servlet.include.path_info

javax.servlet.include.servlet_path

其中，javax.servlet.include.servlet_path属性为当前项目路径、javax.servlet.include.path_info属性为目录路径。然后，通过DefaultServlet类的getRelativePath要领进行拼接获得path路径。如下图所示：

东森·(中国区)官方网站

最后，会将path带入到getResource(path)要领中造成任意文件读取。如下图所示：

东森·(中国区)官方网站

利用该漏洞乐成读取到/WEB-INF/目录下web.xml文件。

东森·(中国区)官方网站

2.2 Jsp文件包罗漏洞

当ajp URI设置为jsp路径时，Tomcat会调用JspServlet的service要领处置，如下图所示：

东森·(中国区)官方网站

同样会获取javax.servlet.include.path_info、javax.servlet.include.servlet_path这两个属性（经过上面的分析我们已经知道可以通过ajp协议控制这两个属性）。将这两个属性对应的值拼接到jspURi变量中，最后交给serviceJspFile要领处置，如下图所示：

东森·(中国区)官方网站

Venus.txt文件代码如下所示：

东森·(中国区)官方网站

乐成RCE结果如下图所示：

东森·(中国区)官方网站

三、影响版本

Tomcat 6

Tomcat 7

Tomcat 8

Tomcat 9

四、规避方案

将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复。

禁用AJP协议。

编辑 /conf/server.xml，找到如下行：

将此行注释掉（也可删掉该行）：

配置secret来设置AJP协议的认证凭证。

例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个宁静性高、无法被轻易猜解的值）：

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究

Apache Tomcat文件包罗漏洞分析

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线