拓波邮件系统关于“Apache Tomcat最新漏洞”的安全加固说明
漏洞说明
据国家网络与信息安全信息通报中心监测发现,Apache Tomcat存在文件包含高危漏洞(CVE-2020-1938,对应CNVD-2020-10487)。
Tomcat是Apache软件基金会Jakarta项目中的一个核心项目,Java开发人员应用较多,并得到部分软件开发商认可。Tomcat服务器是一款免费的开源Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。
经分析研判,Tomcat AJP协议存在文件包含漏洞,攻击者可利用该漏洞通过构造特定参数的方式,读取服务器webapp目录下任意文件。若服务器同时具备文件上传功 能,攻击者可进一步上传恶意文件实现远程代码执行,最终获取服务器控制权。目前,Tomcat 6、7、8、9系列多个版本均受此漏洞影响。
拓波邮件系统的安全说明
拓波软件研发部通过排查核实,此漏洞并未对拓波软件旗下产品:TurboMail邮件系统、TurboEx邮件协同系统、TurboGate邮件网关造成影响,出于安全考虑也防患于未然,我们建议广大客户关闭AJP协议方案进行漏洞修补,或将AJPConnector调整为只对localhost开放,具体操作如下所示:
1、注释掉
<
CATALINA_BASE
>
/
conf
/
server
.
xml
文件中以下片段:
将原有的
<connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
修改为
<!--<connector port="8009" protocol="AJP/1.3" redirectPort="8443" />-->
2、修改
<
CATALINA_BASE
>
conf
/
server
.
xml
,在配置中增加ip绑定:
将原有的
<connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
修改为
<connector address="127.0.0.1" port="8009" protocol="AJP/1.3" redirectPort="8443" />
最后重启web服务生效。
如您需要了解更多的技术细节,请联系拓波软件客服中心进行直接沟通。