这是一个创建于 2160 天前的主题,其中的信息可能已经有所发展或是发生改变。
- 亲手测试了下,确实是配置文件能直接被读取到,挺危险的
- 主要针对 AJP 链接器的,紧急的话可以先把 AJP 连接器注释掉,或者更换 tomcat 版本
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
第 1 条附言 · 2020 年 2 月 21 日
- 更详细的信息和处理: 关于Apache Tomcat存在文件包含漏洞的安全公告
 |
1
502Chef 2020 年 2 月 21 日
在修了在修了
|
 |
2
dbpe 2020 年 2 月 21 日
收到...准备修补
|
 |
3
nxforce 2020 年 2 月 21 日
undertow....
|
|
4
dbpe 2020 年 2 月 21 日
|
 |
6
gz911122 2020 年 2 月 21 日
漏洞有相关连接么
大佬 |
 |
7
zhoudaiyu PRO 中午接到通知了,但是我们的 server.xml 默认都注释掉了这块
|
 |
8
luckyc 2020 年 2 月 21 日
防火墙打开, 这种端口不会让他通过的.
|
 |
9
cnskis 2020 年 2 月 21 日
阿里云发邮件提醒来了。
|
|
10
dbpe 2020 年 2 月 21 日
@joyhub2140 好吧...我以为上生产了...我准备搞一版本看下..毕竟用 SPring 的生态,类似 vertx 的 nio..很吸引人.
|
 |
11
nc4697 2020 年 2 月 21 日
还好没用 tomcat
|
 |
12
saytesnake 2020 年 2 月 21 日
Jetty 路过
|
 |
13
leonard916 2020 年 2 月 21 日
一直都是 Jetty
|
 |
14
salamanderMH 2020 年 2 月 21 日
刚修了
|
|
15
leonard916 2020 年 2 月 21 日
@joyhub2140 @dbpe 要不試試 wildfly
|
 |
16
xuanbg 2020 年 2 月 21 日
不用修,我们用是 spring boot 2.1.4 内置的 Tomcat。也不用 AJP
|
 |
17
arsgm 2020 年 2 月 21 日
测试脚本能贡献一下吗?
|
 |
18
maskerTUI 2020 年 2 月 21 日
|
 |
20
Nekonico 2020 年 2 月 21 日
不用 java 的路过一下
|
 |
21
pmispig 2020 年 2 月 21 日
现在还有人用 ajp ??
|
 |
22
hantsy 2020 年 2 月 21 日
ajp 好久没有弄了,是给 Apache Module 连接的吗?
|
|
23
hantsy 2020 年 2 月 21 日
果然是,https://httpd.apache.org/docs/2.4/mod/mod_proxy_ajp.html。 好多年没有用了,都忘记了。
|
 |
24
qyvlik 2020 年 2 月 21 日
https://github.com/docker-library/tomcat/commit/c94a988c9e74d6a60247e4671a84c95a47d627c9
docker 的 openjdk 版 tomcat 十来天前就更新到 8.5.51 |
 |
25
seraphv3 2020 年 2 月 21 日
防火墙并没有把 AJP 端口开放出去
|
 |
26
jason19659 2020 年 2 月 21 日
Traceback (most recent call last):
File "a.py", line 295, in <module> t = Tomcat(args.target, args.port) File "a.py", line 262, in __init__ self.stream = self.socket.makefile("rb", bufsize=0) TypeError: makefile() got an unexpected keyword argument 'bufsize' |
 |
27
sumarker PRO 没用 tomcat- -
|
 |
28
letitbesqzr 2020 年 2 月 22 日
看了下目前部署的,老项目防火墙都没允许该端口,新项目都是 spring boot,不会开启 ajp 了
|
Select Language