由于Apache JServ Protocol (AJP)连接中的较高权限,Apache Tomcat存在信息泄露的漏洞。

我最近加入了一个项目,工作是在Spring引导应用程序.应用程序已经到位,我发现他们有一些工具(类似于SONARQube),在部署过程中运行,以评估安全问题.我发现Apache tomcat上的一组问题,列出的描述。

“由于Apache JServ协议(AJP)的连接被赋予比同等的HTTP客户端更高的权限,Apache Tomcat容易受到信息泄露的影响”

我们使用的Springboot版本是2.2.3。

请帮助我!

我的努力如下

我发现AJP在Tomcat 9.0.30之前的版本中拥有更多的权限,而在9.0.31及以后的版本中,Apache的人已经收紧了这个漏洞。但他们声称用户需要做更多的配置,以下是我的问题0. 我试着在pom文件中把tomcat 9.0.31作为一个单独的依赖,但是fortify security app还是给出了同样的问题;所以不知道要做哪些配置1.第0点说,我无法找到作为用户需要做的配置2.即使我知道要做的配置,我如何在运行在Springboot应用程序里面的tomcat容器中实现这些配置?

解决方案:

正如@Lemmy所指出的,Spring Boot并没有创建一个开箱即用的AJP连接器。snyk.io),所以你没有接触到 幽灵广播 这是Tomcat 9.0.31版本中修复的漏洞名称)。如果你需要配置AJP连接器,这里是你如何做的。

@Configuration
public class TomcatConfig {


  @Bean
  public TomcatServletWebServerFactory servletContainer() {
      TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory();
      Connector ajpConnector = new Connector("org.apache.coyote.ajp.AjpNioProtocol");
      AjpNioProtocol protocol= (AjpNioProtocol)ajpConnector.getProtocolHandler();
      protocol.setSecret("myapjsecret");
      ajpConnector.setPort(9090);
      ajpConnector.setSecure(true);
      tomcat.addAdditionalTomcatConnectors(ajpConnector);
      return tomcat;
  }
}

你可以找到更多关于这个漏洞的信息,例如: 在这里,你可以找到更多关于这个漏洞的信息,例如

给TA打赏
共{{data.count}}人
人已打赏
未分类

工厂法C++

2022-9-9 2:45:18

未分类

C程序。取字符串输入到char指针问题

2022-9-9 2:45:20

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索