发布时间:2020-03-04
最新更新时间:2020-03-04
一、风险概述
1、Tomcat服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP程序的首选。
2、2020年2月20日,国家信息安全漏洞共享平台(CNVD) 公布CNVD-2020-10487 Apache Tomcat文件包含漏洞,由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录下的任意文件,比如读取webapp配置文件或源代码,此外如果目标应用有文件上传功能的情况下,配合文件包含的利用还可以达到远程代码执行的危害。
3、漏洞CVE编号:CVE-2020-1938。
二、影响范围
锐捷云桌面所有运行以下云桌面系统版本的服务器,均存在该漏洞:
● 云办公除V4.1_R1T1外所有版本(发布时间2019年11月15日);
● 云课堂标准版V3.8以前发布的所有版本(不含V3.8,该版本发布时间为2019年6月30日)。
● 云课堂增强版所有已发布的版本。
三、解决方案
针对此漏洞风险,云桌面事业部已发布可修复该漏洞的Halo工具,版本号为V2.1.34(发布时间为2020年2月28日)。用户可自行到云桌面工具平台网站上(http://csc.ruijie.com.cn/rcc/page/main.html?url=home.html)获取Halo工具进行修复。
具体操作步骤参考附件:《使用Halo工具的修复apache漏洞过程及操作步骤V1.1.docx》。
点击查看:https://pan.ruijie.com.cn/share/f7be9b36f3df825f336c610ef6
四、技术支撑联系方式
在执行相关操作过程中,如有遇到问题,请联系4008111000技术支持热线寻求支持。
