跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

重要資安警訊

:::
:::
Apache Tomcat 重大漏洞 請多款資訊平台管理者盡快更新
  • 上版日期:2020-05-13

前言

近期因校園圖書館網頁主機,遭中國駭客組織透過Tomcat Server Ghostcat漏洞上傳後門程式,使該網頁主機成為惡意程式的Download Site,引發各界關注,該漏洞的CVSS v3.1安全風險分數高達9.8,且影響所有Tomcat Server版本。各家IT平台,商用軟體使用內嵌的Tomcat Server也遭受波及,紛紛推出針對該漏洞的修補程式。

Apache Tomcat簡介

Apache Tomcat為java應用伺服器,負責解析動態網頁請求,通常與Apache Web 伺服器整合,由Apache負責html靜態網頁解析,動態網頁如jsp、php、asp、cgi等網頁請求則透過Tomcat 伺服器做程式碼解析。常被使用於高流量網站、雲端網頁平台、與嵌入式的web伺服器中。

漏洞描述

該漏洞發生於Tomcat Server AJP協議中,導致未授權的使用者能利用此漏洞讀取Tomcat sever 所有網頁目錄下的檔案與上傳任意程式。

影響版本與平台

  • Apache Tomcat 9.x < 9.0.31
  • Apache Tomcat 8.x < 8.5.51
  • Apache Tomcat 7.x < 7.0.100
  • Apache Tomcat 6.x
Liunx作業系統
  • SUSE Linux Enterprise Server
  • Red Hat Enterprise Linux
  • Debian
  • Gentoo
  • Fedora
雲端服務
  • Azure Kubernetes服務
  • Azure Container Instances(ACI)
  • Azure WebApps for containers
商用軟體
  • BlackBerry Workspaces Server(Appliance-X、vApp)
  • BlackBerry Good Control

資料來源:ITHOME整理(https://www.ithome.com.tw/news/137207)

建議處理措施