首页 > 传媒 > 关键词  > 腾讯安全最新资讯  > 正文

Apache Tomcat文件包含漏洞被披露,腾讯安全免费提供攻击检测服务

2020-02-21 17:29 · 稿源: 腾讯安全

2月20日,CNVD(国家信息安全漏洞共享平台)公告知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞,攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件,甚至进一步执行任意代码,威胁信息安全,该漏洞将波及全球约8万台服务器。

Apache Tomcat 是一个免费的开源 Web 应用服务器,在中小型企业和个人开发用户中广泛应用。由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。据了解,Apache Tomcat 6、 Apache Tomcat 7 < 7.0.100、Apache Tomcat 8 < 8.5.51、Apache Tomcat 9 < 9.0.31等版本都将受到该漏洞影响。根据腾讯安全网络资产风险检测系统(腾讯御知)提供的最新数据,当前采用AJP协议的国内IP数量为38283个,全网共80781个。企业网管可采用腾讯安全网络资产风险检测系统全面检测企业网络资产是否受该漏洞影响。

目前,Apache官方已发布修复漏洞的新版本:Apache Tomcat 7.0.100、Apache Tomcat 8.5.51及 Apache Tomcat 9.0.31,腾讯安全威胁情报中心专家建议用户尽快升级到安全版本。对于暂不能升级、未使用AJP协议的用户,专家建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost。对于使用了AJP协议的用户,专家建议在升级的基础上为AJP Connector配置secret来设置AJP协议的认证凭证;如无法立即升级,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。

目前,腾讯安全也已针对该漏洞启动应急响应方案,已通过旗下安全产品向政企用户推送"有关Apache Tomcat存在文件包含漏洞"的安全通告信息,以提醒政企用户尽快完成修复,防御可能的黑客攻击。

同时,腾讯安全高级威胁检测系统(腾讯御界)已即时升级,可检测针对该漏洞的攻击。

此外,腾讯安全网络资产风险检测系统(腾讯御知)作为一款自动探测企业网络资产并识别风险的产品,可全方位帮助企业用户进行包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险检测。企业网管可采用腾讯安全网络资产风险检测系统全面检测企业网络资产是否受该漏洞影响。在该系统安全告知消息中点击“立即扫描”,即可对客户资产安全状况进行全面检测。

特别声明:以上内容(如有图片或视频亦包括在内)均为站长传媒平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。站长之家将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。任何单位或个人认为本页面内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向站长之家提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明(点击查看反馈地址)。本网站在收到上述法律文件后,将会依法依规核实信息,沟通删除相关内容或断开相关链接。

  • 相关推荐
  • 大家在看
  • 以数据安护航数字政务,腾讯安全荣获数据安三项大奖

    9 月 23 日- 24 日,由中国信息协会主办的 2021 第三届中国电子政务安全大会在北京顺利召开,腾讯安全在本次大会推优评选中摘得“ 2021 中国数据安全领导力企业”、“ 2021 中国数据安全优秀解决方案”、“ 2021 中国数据安全优秀样板工程”三项大奖。“政府数字化转型离不开信息安全的保驾护航,随着网络化、数字化、智能化的日益深入,新的安全挑战将持续存在数字化转型全过程。”中国信息协会副会长吴钰在开幕式中提到,本次大?

  • 共建“短信轰炸”黑产链条治理,腾讯安全验证码能力助力企业免遭黑产利用

    近日,广西壮族自治区来宾市公安局网安支队联合武宣警方,经过近两个月的奋战,成功破获广西首例短信轰炸案件。今年 6 月,来宾市公安局网安支队接到举报,有人在互联网上搭建网站开展短信轰炸、游戏外挂等黑产违法犯罪行为。针对相关线索,在腾讯守护者计划安全团队的协助下,来宾市公安局网安支队通过调查,最终锁定犯罪嫌疑人并实施抓捕行动。经审讯,犯罪嫌疑人卓某健交代其代理短信轰炸(又称“呼死你”)等非法服务,并以发?

  • 双“管”齐下 精准防骗——腾讯安全反欺诈方案亮相2021年国家网络安宣传周

    2021 年国家网络安全宣传周网络安全博览会于 10 月 8 日在西安国际会展中心正式启动。本届宣传周,以“网络安全为人民,网络安全靠人民”为主题,展示了网络安全领域的重大成就,以及网络安全前沿技术、新型产品等。腾讯安全作为主要参展单位,现场以安全“护航舰”的展台装置创意,为观众带来六大产品方案的沉浸式体验效果。其中,以呈现腾讯手机管家&电脑管家双管联动15. 0 版本的“管理站”,基于当下电信网络诈骗问题,首次打?

  • 腾讯安全发布《APP隐私合规白皮书》,助力企业移动应用隐私合规

    近年来,随着互联网技术在全球的飞速发展,人类社会已被裹挟进“大数据”时代,个人信息安全问题也成为全社会关注的议题。随着《个人信息保护法》(草案)、《数据安全法》等一系列法律法规对于个人信息保护的规范,用户隐私保护也正式提上企业发展议程。近日,腾讯安全正式发布《灵鲲APP隐私合规产品白皮书》(以下简称《白皮书》),报告就数字化浪潮下,企业面临的数据安全与用户隐私安全外部环境和现实困难展开了讨论,并介绍?

  • 腾讯安全亮相2021年国家网络安宣传周 筑牢产业数字化升级安底座

    金秋长安,网安国安。 10 月 8 日,为期 7 天的 2021 年国家网络安全宣传周网络安全博览会(以下简称“博览会”)在西安国际会展中心正式拉开序幕。作为互联网安全领先品牌,以及本届宣传周的主要参展单位,腾讯安全将继续向社会各界展示其护航 18 大行业、助力上万家企业客户安全上云的实践成果。据了解,网络安全宣传周一直以来聚焦网络安全领域热点,通过网络安全实验、典型案例曝光等形式,宣传网络安全知识,提升社会网络安全

  • 腾讯代威:合规是生命线,腾讯积极践行车联网网络安标准要求

    当前,智能网联汽车(车联网)作为汽车、电子、信息通信和道路交通等跨界融合的典型领域,处在蓬勃发展的高速阶段。不过,汽车在智能化、网联化程度不断提高,用户驾驶体验也日益提升的同时,其遭受网络攻击、数据泄露等风险也日益加大。智能网联汽车(车联网)一旦发生安全问题,将危害用户人身和财产安全,甚至国家安全。2021 年 10 月 12 日,由中央网信办网络安全协调局指导、全国信息安全标准化技术委员会主办、中国电子技术?

  • 腾讯面支持银联云闪付 支付宝还会远吗?

    腾讯发布声明称,微信支付正与银联云闪付在支付、服务两个层面推进更深入的互联互通。目前,双方合作已取得多项重要进展,其中包括微信小程序逐步支持银联云闪付。

  • 腾讯3大安部门开启夏日游戏安三重奏 聚焦游戏安

    近日,腾讯游戏安全中心联合腾讯守护者计划、腾讯举报中心联合举办的“夏日游戏安全三重奏”活动,在玩家中备受关注。腾讯三大安全部门共发力,游戏安全宣传再升级,“三重奏”聚焦:诈骗、外挂、违规信息三大问题。受骗群体年轻化 游戏诈骗不容忽视根据腾讯110发布的2020年网络诈骗治理报告数据来看,诈骗受害者整体呈年轻化,主要是以大学生为主的青少年群体,在游戏交易、返利及交友3个方面被骗可能性较高。2021年上半年,腾讯游

  • 纽交所退市!搜狗宣布私有化完成:成腾讯资子公司

    耗时一年多时间,搜狗终于完成“脱狐入鹅”。北京时间9月24日凌晨,搜狗公司发布公告宣布与腾讯完成合并,搜狗将成为腾讯控股间接全资子公司,并完成退市,之后作为存续公司继续运营。据悉,今年7月13日,国家市场监管总局无条件批准了腾讯控股有限公司收购搜狗公司股权。公告显示,搜狗目前已要求暂停其ADS在纽约证券交易所的交易,搜狗流通股份以9美元每ADS的价格被收购。同时,搜狐发布公告确认搜狗股权交易完成,在搜狗持股33.

  • 重新定义商业形态,腾讯广告要帮客户“域经营”

    伴随前沿技术的逐渐落地,以及互联网的普及渗透,5G在各个行业场景的应用, 2021 年,国内商业形态已然发生重大演化与重组,过去的广告模式、流量逻辑与商业思维已经不再适用,全生态链条地服务客户已成为各行各业的必备“顾问”。2021 年Tencent IN腾讯智慧营销峰会上,腾讯公司高级副总裁林璟骅认为,广告收入不仅依靠流量红利,提升变现效率将成为更加重要的战场。腾讯广告目前承担了数字化转型顾问的角色,不仅是出售广告,更?

这篇文章对你有价值吗?

  • 热门标签

热文

  • 3 天
  • 7天