V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2270 days ago, the information mentioned may be changed or developed.
- 亲手测试了下,确实是配置文件能直接被读取到,挺危险的
- 主要针对 AJP 链接器的,紧急的话可以先把 AJP 连接器注释掉,或者更换 tomcat 版本
<!-- Define an AJP 1.3 Connector on port 8009 -->
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
Supplement 1 · Feb 21, 2020
- 更详细的信息和处理: 关于Apache Tomcat存在文件包含漏洞的安全公告
 |
1
502Chef Feb 21, 2020
在修了在修了
|
 |
2
dbpe Feb 21, 2020
收到...准备修补
|
 |
3
nxforce Feb 21, 2020
undertow....
|
|
4
dbpe Feb 21, 2020
|
 |
6
gz911122 Feb 21, 2020
漏洞有相关连接么
大佬 |
 |
7
zhoudaiyu PRO 中午接到通知了,但是我们的 server.xml 默认都注释掉了这块
|
 |
8
luckyc Feb 21, 2020
防火墙打开, 这种端口不会让他通过的.
|
 |
9
cnskis Feb 21, 2020
阿里云发邮件提醒来了。
|
|
10
dbpe Feb 21, 2020
@joyhub2140 好吧...我以为上生产了...我准备搞一版本看下..毕竟用 SPring 的生态,类似 vertx 的 nio..很吸引人.
|
 |
11
nc4697 Feb 21, 2020
还好没用 tomcat
|
 |
12
saytesnake Feb 21, 2020
Jetty 路过
|
 |
13
leonard916 Feb 21, 2020
一直都是 Jetty
|
 |
14
salamanderMH Feb 21, 2020
刚修了
|
|
15
leonard916 Feb 21, 2020
@joyhub2140 @dbpe 要不試試 wildfly
|
 |
16
xuanbg Feb 21, 2020
不用修,我们用是 spring boot 2.1.4 内置的 Tomcat。也不用 AJP
|
 |
17
arsgm Feb 21, 2020
测试脚本能贡献一下吗?
|
 |
18
maskerTUI Feb 21, 2020
|
 |
20
Nekonico Feb 21, 2020
不用 java 的路过一下
|
 |
21
pmispig Feb 21, 2020
现在还有人用 ajp ??
|
 |
22
hantsy Feb 21, 2020
ajp 好久没有弄了,是给 Apache Module 连接的吗?
|
|
23
hantsy Feb 21, 2020
果然是,https://httpd.apache.org/docs/2.4/mod/mod_proxy_ajp.html。 好多年没有用了,都忘记了。
|
 |
24
qyvlik Feb 21, 2020
https://github.com/docker-library/tomcat/commit/c94a988c9e74d6a60247e4671a84c95a47d627c9
docker 的 openjdk 版 tomcat 十来天前就更新到 8.5.51 |
 |
25
seraphv3 Feb 21, 2020
防火墙并没有把 AJP 端口开放出去
|
 |
26
jason19659 Feb 21, 2020
Traceback (most recent call last):
File "a.py", line 295, in <module> t = Tomcat(args.target, args.port) File "a.py", line 262, in __init__ self.stream = self.socket.makefile("rb", bufsize=0) TypeError: makefile() got an unexpected keyword argument 'bufsize' |
 |
27
sumarker PRO 没用 tomcat- -
|
 |
28
letitbesqzr Feb 22, 2020
看了下目前部署的,老项目防火墙都没允许该端口,新项目都是 spring boot,不会开启 ajp 了
|
Select Language