country区域/语言
search
header-mobile_back 返回
icon-search X

关于海康威视部分iVMS平台软件存在Apache Tomcat文件读取包含漏洞的安全公告

 

    安全公告-海康威视部分iVMS平台软件存在Apache Tomcat文件读取包含漏洞

    公告编号:HSRC-202002-01

    公告来源:海康威视安全应急响应中心

    初始发布时间:2020-02-22

    更新发布时间:2020-02-28

    漏洞概述:

          Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目,作为目前比较流行的Web应用服务器,被普遍使用在轻量级Web应用服务的构架中。Tomcat服务器是一个免费的开放源代码的Web应用服务器,Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。

    漏洞编号:

          CVE-2020-1938

    影响版本:

          对于使用了处在以下漏洞影响版本范围内的Tomcat的iVMS平台软件,若其开启 AJP Connector 且攻击者能够访问 AJP Connector 服务端口的情况下,即存在被漏洞利用的风险。

          Apache Tomcat 9.x < 9.0.31

          Apache Tomcat 8.x < 8.5.51

          Apache Tomcat 7.x < 7.0.100

          Apache Tomcat 6.x

     

          相关的调查工作还在持续进行,海康威视安全应急响应中心后续将跟踪排查的最新进展,请持续关注。

    解决方案:

         如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或配置防火墙规则禁止访问AJP协议端口。

    具体操作:

    (1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录):

    <Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

    (2)将此行注释掉(也可删掉该行):

    <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

    (3)保存后需重新启动,规则方可生效。

    Apache Tomcat官方已在发布的新版本9.0.31、8.5.51或 7.0.100 中修复了该漏洞,详细修复方案请联系海康威视当地技术支持。

     

    联系渠道:

          关于海康威视产品和解决方案的安全问题,可通过 hsrc@hikvision.com联系HSRC。海康威视对所有关注我司产品的安全研究人员表示感谢!

          2020-02-22 V1.0 初始发布

          2020-02-23 V1.1 更新受影响产品列表

          2020-02-25 V1.2 更新受影响产品列表

          2020-02-28 V1.3 更新受影响产品列表

    联系我们
    在线咨询
    项目咨询
    投诉与建议
    进入微信小程序 随时了解产品信息
    联系我们
    在线咨询
    项目咨询
    投诉与建议
    进入微信小程序,随时了解产品信息

    获得更好的体验

    您正在使用IE浏览器,我们建议您切换以下浏览器阅览