springboot2对应tomcat的AJP漏洞

头像
下塘烧饼
    阅读 3 分钟
    1

    背景

    2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。目前,漏洞细节尚未公开,厂商已发布新版本完成漏洞修复。

    具体公告:https://www.cnvd.org.cn/webin...

    springboot对应方法

    如果使用的是外置tomcat,参考公告中的对应方法即可。

    如果使用的是springboot的内置tomcat,且手动开启了AJP协议,则需要升级内置tomcat版本。

    如果你的springboot(使用默认内置tomcat)并没有手动开启AJP,那么你可以不升级tomcat内置版本。当然你想升级也可以。

    springboot开启AJP方法

    springboot默认不启用AJP,如果需要开启,则需要手动配置,以springboot2为例:

        @Bean
    public WebServerFactoryCustomizer<TomcatServletWebServerFactory> servletContainer() {
      return server -> {
        if (server instanceof TomcatServletWebServerFactory) {
            ((TomcatServletWebServerFactory) server).addAdditionalTomcatConnectors(redirectConnector());
        }
      };
    }

    private Connector redirectConnector() {
       Connector connector = new Connector("AJP/1.3");
       connector.setScheme("http");
       connector.setPort(ajpPort);
       connector.setSecure(false);
       connector.setAllowTrace(false);
       return connector;
    }

    开启了AJP的springboot如何升级内置tomcat版本

    如果你的springboot项目开启了AJP,那么你需要升级内置tomcat版本到公告中指明的版本或以上。
    示例:

        <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
      <exclusions>
        <exclusion>
          <artifactId>tomcat-embed-core</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
        <exclusion>
          <artifactId>tomcat-embed-el</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
        <exclusion>
          <artifactId>tomcat-embed-websocket</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
      </exclusions>
    </dependency>
    <dependency>
      <groupId>org.apache.tomcat.embed</groupId>
      <artifactId>tomcat-embed-core</artifactId>
      <version>9.0.31</version>
    </dependency>
    <dependency>
      <groupId>org.apache.tomcat.embed</groupId>
      <artifactId>tomcat-embed-el</artifactId>
      <version>9.0.31</version>
    </dependency>
    <dependency>
      <groupId>org.apache.tomcat.embed</groupId>
      <artifactId>tomcat-embed-websocket</artifactId>
      <version>9.0.31</version>
      <exclusions>
        <exclusion>
          <artifactId>tomcat-embed-core</artifactId>
          <groupId>org.apache.tomcat.embed</groupId>
        </exclusion>
      </exclusions>
    </dependency>

    这里列出了tomcat-embed-core,tomcat-embed-el和tomcat-embed-websocket这三个依赖包,实际上应该根据你的具体项目中的依赖来升级版本

    java
    下塘烧饼
    97 声望17 粉丝

    个人文章迁移到知乎了:[链接]

    « 上一篇
    java8添加并查看GC日志(ParNew+CMS)
    下一篇 »
    linux内存占用分析之meminfo

    引用和评论

    推荐阅读
    头像
    Java多线程梳理之一_多线程开发入门

    下塘烧饼1阅读 1.1k评论 2

    头像
    在Java程序中监听mysql的binlog

    huan199310阅读 1.9k

    头像
    Jerry和您聊聊Chrome开发者工具

    注销9阅读 4.4k评论 3

    头像
    Bitmap 和 布隆过滤器傻傻分不清?你这不应该啊

    程序员小富8阅读 1.5k评论 1

    头像
    Just for fun——迅速写完快速排序

    ufdf3阅读 2.6k

    头像
    Spring 实现 3 种异步流式接口,干掉接口超时烦恼

    程序员小富5阅读 1.6k

    头像
    💢线上高延迟请求排查

    crossoverJie6阅读 733评论 4

    0 条评论
    得票最新