國家信息安全漏洞共享平臺(tái)發(fā)布Apache Tomcat漏洞安全公告

2020-02-22 16:32 作者：admin 瀏覽量：

這幾天如果大家關(guān)注疫情數(shù)據(jù)的變化，可以看到新增確診病例在持續(xù)下降，這意味著疫情很快就會(huì)結(jié)束，大家再也不用在家辦公了，到不是在家工作有什么不好，但人類發(fā)明工作不簡簡單單只是為了實(shí)現(xiàn)結(jié)果的達(dá)成，還有一個(gè)非常重要的因素就是人與人之間的聯(lián)結(jié)，這是人類內(nèi)在價(jià)值的需求，透過工作與人接觸，共同感受彼此的能量流動(dòng)，從而達(dá)到自我價(jià)值的實(shí)現(xiàn)，這就像演員都渴望登上奧斯卡的舞臺(tái)，來實(shí)現(xiàn)自我角色的認(rèn)可一樣。  
在家辦公，畢竟是家，松、散、懶以及無所謂的態(tài)度會(huì)隨時(shí)產(chǎn)生，我相信不是每個(gè)人都會(huì)這樣，但大部分人會(huì)如此，因?yàn)榧冶緛砭褪欠潘傻哪芰繄?chǎng)，接下來大家即將回到公司，回到自己的工作崗位，難免會(huì)把在家的狀態(tài)帶入工作中，如果每個(gè)人都是這樣的狀態(tài)，企業(yè)很快會(huì)陷入新的窘境，所以沒有狀態(tài)，也不會(huì)有好的結(jié)果，狀態(tài)就是一切。
 
團(tuán)隊(duì)的勢(shì)氣決定企業(yè)整體的戰(zhàn)斗力，那如何調(diào)整陸陸續(xù)續(xù)回來的團(tuán)隊(duì)成員呢？
 
   
艾銻無限對(duì)中小企業(yè)有三條建議：
 
第一，重新梳理整個(gè)企業(yè)的戰(zhàn)略，疫情的發(fā)生，是否給你企業(yè)帶來了變化？如果有那是什么？是否需要調(diào)整自己原有的戰(zhàn)略方向來應(yīng)對(duì)疫情發(fā)生后的影響？
 
第二，重新明確每個(gè)人的目標(biāo)和目的，目標(biāo)就是重回企業(yè)的人要干什么？干到什么程度？什么時(shí)間可以看到這個(gè)結(jié)果的發(fā)生？目的就是為什么要實(shí)現(xiàn)這個(gè)目標(biāo)？這個(gè)目標(biāo)與自己的意義是什么？與企業(yè)的意義又是什么？達(dá)成了會(huì)怎么樣？達(dá)不成又會(huì)怎么樣？
 
只有清晰這些問題，才會(huì)讓回到工作崗位的人快速改變自己的狀態(tài)投入到接下來的工作中，只有積極的狀態(tài)投入工作才會(huì)有積極的成果發(fā)生，反之依然。
 
第三，企業(yè)高管與員工建立一對(duì)一的對(duì)話機(jī)制，因疫情的影響，每個(gè)人心理或多或少都會(huì)產(chǎn)生一些內(nèi)在的變化，作為企業(yè)的高層管理人員，最好與企業(yè)內(nèi)部員工一對(duì)一的進(jìn)行溝通，去了解在這個(gè)過程中員工受到的影響和產(chǎn)生的變化，以便接下來更好的調(diào)整他們的狀態(tài)，因?yàn)槿绻麄兊男臎]有回來，企業(yè)的要求和制度帶來的也都是大家沒有能量的重復(fù)和機(jī)械的工作，最終也很難帶來好的結(jié)果。
 
以上三點(diǎn)是企業(yè)管理者需要重視的，當(dāng)然身為企業(yè)的一員無論是誰也都需要重新審視自己的狀態(tài)，因?yàn)檫@關(guān)系著企業(yè)接下來的生、死、存、亡，能量是企業(yè)持續(xù)發(fā)展的源泉，以上所有的目的都是為了聚合企業(yè)人的能量，重新點(diǎn)燃大家面對(duì)工作的激情和信心，這將是企業(yè)至勝的法定。
 
當(dāng)然這只是我們一家之言，每家企業(yè)可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
以上三點(diǎn)做為每一家企業(yè)的管理者都有必要重視起來，因?yàn)檫@關(guān)系著企業(yè)接下來的生、死、存、亡，當(dāng)然這只是我們一家之言，可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
那為什么我們會(huì)有這樣的思考，因?yàn)榘R無限是一家企業(yè)互聯(lián)網(wǎng)”云”解決方案服務(wù)平臺(tái)，企業(yè)在初創(chuàng)時(shí)經(jīng)歷了2003年的非典，后來又經(jīng)歷了2008年的經(jīng)濟(jì)危機(jī)以及2016年互聯(lián)網(wǎng)創(chuàng)業(yè)大潮，生生死死，幾經(jīng)沉浮，最終發(fā)現(xiàn)上述三點(diǎn)是生死線中最重要的，所以愿意分享給大家，期望這次疫情大家不僅能渡過難關(guān)，更能看見大家在這個(gè)過程中強(qiáng)而有力的領(lǐng)導(dǎo)力，讓自己企業(yè)力挽狂瀾，讓自己的工作更上一層樓，讓自己的生活在2020年更精彩。
 
在這次疫情后各個(gè)企業(yè)恢復(fù)的過程中，艾銻無限還能為大家做的就是免費(fèi)為中小企業(yè)提供相應(yīng)的IT服務(wù)，以下是艾銻無限可以提供服務(wù)的內(nèi)容，如果大家有相應(yīng)的需求，可以打下面的電話與我們的企業(yè)相關(guān)人員聯(lián)系，我們一定會(huì)盡全力幫助大家渡過難關(guān)。
   
 
歷經(jīng)10幾年,艾銻無限服務(wù)了5000多家中小企業(yè)并保障了幾十萬臺(tái)設(shè)備的正常運(yùn)轉(zhuǎn)，積累了豐富的企業(yè)IT緊急問題和特殊故障的解決方案，我們?yōu)槟钠髽I(yè)提供的IT服務(wù)分為三大版塊:
 
第一版塊是保障性IT外包服務(wù):如電腦設(shè)備運(yùn)維，辦公設(shè)備運(yùn)維，網(wǎng)絡(luò)設(shè)備運(yùn)維，服務(wù)器運(yùn)維等綜合性企業(yè)IT設(shè)備運(yùn)維服務(wù)。
 
第二版塊是功能性互聯(lián)網(wǎng)外包服務(wù):如網(wǎng)站開發(fā)外包，小程序開發(fā)外包，APP開發(fā)外包，電商平臺(tái)開發(fā)外包，業(yè)務(wù)系統(tǒng)的開發(fā)外包和后期的運(yùn)維外包服務(wù)。
 
第三版塊是增值性云服務(wù)外包:如企業(yè)郵箱上云，企業(yè)網(wǎng)站上云，企業(yè)存儲(chǔ)上云，企業(yè)APP小程序上云，企業(yè)業(yè)務(wù)系統(tǒng)上云，阿里云產(chǎn)品等后續(xù)的云運(yùn)維外包服務(wù)。
   
更多服務(wù)也可以登錄艾銻無限的官網(wǎng): www.bjitwx.com 查看詳細(xì)說明。

每家企業(yè)都有著不同的人，每個(gè)人都有著不一樣的思考，所以企業(yè)不需要統(tǒng)一所有人的思維，企業(yè)只需要統(tǒng)一所有人的心，因?yàn)橹灰脑谝黄鹆耍芰烤蜁?huì)合一，能量合一企業(yè)將無所不能。
 
相信這次疫情帶給中國企業(yè)的不僅僅是災(zāi)難，更有可能的是歷練，這幾年經(jīng)濟(jì)發(fā)展如此快速，大部分中小企業(yè)的成長都是隨著國家政策及整個(gè)社會(huì)的大勢(shì)起來的，沒有經(jīng)過太多的挑戰(zhàn)和困難，所以存活周期也會(huì)很短，從2016年大眾創(chuàng)業(yè)，萬眾創(chuàng)新倡導(dǎo)下成立了上千萬家企業(yè)，但真正存活下來的就只有幾萬家，這樣的結(jié)果即不能給國家?guī)矸€(wěn)定持續(xù)發(fā)展的動(dòng)力，也不能為社會(huì)創(chuàng)造更大的價(jià)值，反而讓更多的人投機(jī)取巧，心浮氣躁，沉不下來真正把一件事做好，做到極致。
 
所以這次疫情也會(huì)讓大部分企業(yè)重新思考，問問自己，為什么要?jiǎng)?chuàng)立這家企業(yè)，想為這個(gè)國家和社會(huì)帶來的是什么？企業(yè)真正在創(chuàng)造的是什么？如何做才能讓社會(huì)因自己的企業(yè)變得更好？.....
 
當(dāng)企業(yè)真正去思考，用心去創(chuàng)造價(jià)值的時(shí)候，也就是人們幸?？鞓返臅r(shí)候，因?yàn)樵僖膊挥脫?dān)心假貨、次貨、買到不好的產(chǎn)品，更不用擔(dān)心環(huán)境被污染，大氣被破壞，疫情即是一場(chǎng)災(zāi)難，又是重新成就中國企業(yè)的一次機(jī)會(huì)，讓全世界人覺醒，生命只有一次，我們要如何做才能不枉此生呢？
 
   
你對(duì)世界微笑，世界絕不會(huì)對(duì)你哭，希望大家都能積極樂觀起來，讓自己、自己的家人、自己的企業(yè)、還有自己的國家都快樂起來，把焦點(diǎn)、意識(shí)、能量放在我們想要什么上，而不是不要的事情上，我相信，就在不久的將來，我們一定會(huì)看到一個(gè)富強(qiáng)、文明、健康的中國以及一個(gè)和諧友愛的世界。
 
萬物同體，能量合一，最后無論你是中小企業(yè)，還是大型國有企業(yè)，只要你選擇艾銻無限，我們就一定全力以赴幫助大家渡過難關(guān)，服務(wù)有限，信息無限，透過全體艾銻人的努力，為您收集最有效的IT技術(shù)信息，讓您企業(yè)更快速解決遇到的IT問題：
 

國家信息安全漏洞共享平臺(tái)發(fā)布Apache Tomcat漏洞安全公告
2月22日消息 國家信息安全漏洞共享平臺(tái)（CNVD）近日發(fā)布了一份關(guān)于 Apache Tomcat 存在文件包含漏洞的安全公告，具體如下： 安全公告編號(hào)：CNTA-2020-0004
2020 年 1 月 6 日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了由北京長亭科技有限公司發(fā)現(xiàn)并報(bào)送的 Apache Tomcat 文件包含漏洞（CNVD-2020-10487，對(duì)應(yīng) CVE-2020-1938）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程讀取特定目錄下的任意文件。目前，漏洞細(xì)節(jié)尚未公開，廠商已發(fā)布新版本完成漏洞修復(fù)。
一、漏洞情況分析
Tomcat 是 Apache 軟件基金會(huì) Jakarta 項(xiàng)目中的一個(gè)核心項(xiàng)目，作為目前比較流行的 Web 應(yīng)用服務(wù)器，深受 Java 愛好者的喜愛，并得到了部分軟件開發(fā)商的認(rèn)可。Tomcat 服務(wù)器是一個(gè)免費(fèi)的開放源代碼的 Web 應(yīng)用服務(wù)器，被普遍使用在輕量級(jí) Web 應(yīng)用服務(wù)的構(gòu)架中。
2020 年 1 月 6 日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了由北京長亭科技有限公司發(fā)現(xiàn)并報(bào)送的 Apache Tomcat 文件包含漏洞。Tomcat AJP 協(xié)議由于存在實(shí)現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控，攻擊者利用該漏洞可通過構(gòu)造特定參數(shù)，讀取服務(wù)器 webapp 下的任意文件。若服務(wù)器端同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼的執(zhí)行。
CNVD 對(duì)該漏洞的綜合評(píng)級(jí)為“高危”。
二、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括：
Tomcat 6
Tomcat 7
Tomcat 8
Tomcat 9
CNVD 平臺(tái)對(duì) Apache Tomcat AJP 協(xié)議在我國境內(nèi)的分布情況進(jìn)行統(tǒng)計(jì)，結(jié)果顯示我國境內(nèi)的 IP 數(shù)量約為 55.5 萬，通過技術(shù)檢測(cè)發(fā)現(xiàn)我國境內(nèi)共有 43197 臺(tái)服務(wù)器受此漏洞影響，影響比例約為 7.8%。
三、漏洞處置建議
了解到，目前，Apache 官方已發(fā)布 9.0.31、8.5.51 及 7.0.100 版本對(duì)此漏洞進(jìn)行修復(fù)，CNVD 建議用戶盡快升級(jí)新版本或采取臨時(shí)緩解措施：
1.   如未使用 Tomcat AJP 協(xié)議：
如未使用 Tomcat AJP 協(xié)議，可以直接將 Tomcat 升級(jí)到 9.0.31、8.5.51 或 7.0.100 版本進(jìn)行漏洞修復(fù)。
如無法立即進(jìn)行版本更新、或者是更老版本的用戶，建議直接關(guān)閉 AJPConnector，或?qū)⑵浔O(jiān)聽地址改為僅監(jiān)聽本機(jī) localhost。
具體操作：
（1）編輯/conf/server.xml，找到如下行（為 Tomcat 的工作目錄）：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
（2）將此行注釋掉（也可刪掉該行）：
<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
（3）保存后需重新啟動(dòng)，規(guī)則方可生效。
2.   如果使用了 Tomcat AJP 協(xié)議：
建議將 Tomcat 立即升級(jí)到 9.0.31、8.5.51 或 7.0.100 版本進(jìn)行修復(fù)，同時(shí)為 AJP Connector 配置 secret 來設(shè)置 AJP 協(xié)議的認(rèn)證憑證。例如（注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個(gè)安全性高、無法被輕易猜解的值）
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>
IT之家了解到，如無法立即進(jìn)行版本更新、或者是更老版本的用戶，建議為 AJPConnector 配置 requiredSecret 來設(shè)置 AJP 協(xié)議認(rèn)證憑證。例如（注意必須將 YOUR_TOMCAT_AJP_SECRET 更改為一個(gè)安全性高、無法被輕易猜解的值）：
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />