开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Artifactory tomcat GhostCast漏洞

是指在Artifactory软件中使用的Tomcat服务器中存在的GhostCast漏洞。下面是对该漏洞的完善且全面的答案：

概念： Artifactory是一款由JFrog开发的企业级软件仓库管理系统，用于管理和分发软件包、容器镜像、库和其他开发资产。Tomcat是一个开源的Java Servlet容器，用于在Java环境中运行Web应用程序。

GhostCast漏洞是指在Artifactory中使用的Tomcat服务器版本中存在的安全漏洞，该漏洞可能允许远程攻击者执行任意代码或导致拒绝服务攻击。

分类： GhostCast漏洞属于Web应用程序安全漏洞的一种，具体属于远程代码执行漏洞。

优势：由于GhostCast漏洞是一个安全漏洞，因此没有明显的优势可言。然而，及时修复该漏洞可以提高系统的安全性，防止潜在的攻击。

应用场景： Artifactory tomcat GhostCast漏洞的应用场景是指在使用Artifactory软件时，如果使用的Tomcat服务器版本存在GhostCast漏洞，攻击者可以利用该漏洞对系统进行远程攻击，执行任意代码或导致拒绝服务攻击。

推荐的腾讯云相关产品和产品介绍链接地址：腾讯云提供了一系列云安全产品和服务，可以帮助用户保护系统免受GhostCast漏洞等安全威胁。以下是一些相关产品和其介绍链接地址：

云服务器（ECS）：提供安全可靠的云服务器实例，用户可以在上面部署和运行Artifactory等应用程序。产品介绍链接：https://cloud.tencent.com/product/cvm
云安全中心：提供全面的安全态势感知、风险评估和安全防护能力，帮助用户发现和应对安全威胁。产品介绍链接：https://cloud.tencent.com/product/ssc
Web应用防火墙（WAF）：提供对Web应用程序的全面保护，包括防止SQL注入、XSS攻击、命令注入等常见攻击。产品介绍链接：https://cloud.tencent.com/product/waf

请注意，以上推荐的产品和链接仅供参考，具体的产品选择应根据实际需求和情况进行。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

为您的DevSecOps锦上添花——JFrog Xray的新功能

当前，随着比较常用的组件，如Tomcat、Docker、Kubernetes等陆续曝出存在高危漏洞，组件安全已成为业界日益关注的安全扫描新的重要分支。必须在DevOps流程中加强针对组件的安全扫描，这也是当前业界推荐的DevSecOps的重要组成部分。

00

jfrog安装和破解

破解文件地址：https://pan.baidu.com/s/1DJdTkvJfG-Ut3FbntISneQ?pwd=st2t

02

DevOps is Hard、DevSecOps is Even Harder. --- Enterprise Holdi

Enterprise Holdings. 的IT团队超过2000人，在2018年的演讲中介绍了Enterprise Holdings的DevOps是如何转型的。我们通过打造一个不只包涵了pipeline的CI/CD平台，将其称之为SDLC。在最开始的200+个应用中，我们挑选出5个来作为试点。当时的情况证明这次DevOps转型计划是成功的，我们的团队有4+位工程师和两位架构师，从2年半前就开始了整个平台的开发工作，根据业务需求确保平台可以适配各种云服务、也要适配已有的中间件，我们也在不断对CI/CD平台进行改进，以适应所有业务场景。其的目标是让开发人员更专注于具体的项目开发，让工具去解决一些通用性的问题。为了达到目前的效果，我们做了很多关于平台的需求收集及问题反馈相关的运营工作，所以在过去的一年里，我们已经将此套平台服务于70%的应用中，并且这个数字还在持续的增加。

02

5步实现规模化的Kubernetes CI/CD 流水线

在近几年，Kubernetes迅速成为了容器编排的事实上的开源标准。与虚拟机不同，Kubernetes在抽象化基础架构的同时可靠地大规模编排容器，这可以帮助开发人员将工作负载与基础架构的复杂性分开。Kubernetes是CI/CD自动化的理想选择，因为它提供了许多内置功能，这些功能使应用程序部署实现标准化和可重用，提高了开发人员的生产力，并加快了云原生应用程序的采用。

03

使用Prometheus、Grafana监控Artifactory实践

在企业的系统平台上运行artifactory可能每天有上百万个制品在不断流转，随着研发团队不断扩大，用户慢慢增多，并发量也相应的逐渐增大，在保证高可用的同时，我们对artifactory所在系统及应用服务进行监控会显得尤其重要。那么如何实现系统及应用的监控呢？

03

初识 JFog Artifactory

Artifactory 是 JFrog 的一个产品，用作二进制存储库管理器。二进制存储库可以将所有这些二进制统一托管，从而使团队的管理更加高效和简单。

01

软件持续交付速度提升 40%！DevOps 制品管理有何魔力？

作者 | 张雅文近年来，混合云、多云正逐步成为企业用云的主流模式。据 IBM 的调查报告显示，仅截至 2021 年，采用混合云、多云战略的企业就已经接近 80%。混合云、多云战略的确能够增加企业资源配置的灵活性，但也给持续交付带来了更大的挑战。在软件发布频率持续增长趋势下，如何将版本快速分发到多个环境中去，成为令不少开发者头疼的问题。近日，亚马逊云科技联合 JFrog 举行《DevOps 实践：混合云模式下软件单一可信源的建设方法》为主题的 Tech Talk，JFrog （中国）技术总监王青与大家

02

CapitalOne - Artifactory高可用集群的自动化部署实践

本文为大家介绍Capital One如何利用自动化流水线实现Artifactory HA集群进行自动化运维。Capital One银行是美国最大的数字化银行之一，在Capital One的devops体系中应用了JFrog Artifactory HA集群进行软件制品管理。由于Capital One规模庞大并且为满足业务连续性要求，其部署的Artifactory HA拥有primary和DR（灾备）两套集群的架构。在运维Artifactory HA集群维护中通过建设和运行自动化的流水线，在不影响用户使用和业务连续性的前提下，自动地完成了版本升级、配置更新、功能更新，安全检测等工作，并且在检测到问题时，实现自动化的回滚。

00

制品库 Jfrog Artifactory 搭建私服

JFrog Artifactory 功能最强大的二进制制品仓库。在 Google、Apple、思科、甲骨文、华为、腾讯等众多世界500强公司中都有大规模使用，在二进制软件制品管理领域处于绝对领先地位。与其他服务不同，JJFrog Artifactory 在版本发行上分类较多且杂。

01

Captial One如何实现Artifactory HA集群的自动化维护

本文整理自Hank Hudgins，Capital One高级工程师，在JFrog 2019用户大会上的讲演《Automated Artifactory HA Pipeline》。

03

你的K8s 运行时环境安全吗？ KubeXray帮你保护K8s环境及应用

大多数安全措施都是为了防止漏洞逃跑而设计的，在此之前，我们也分享了一些第三方安全扫描的文章（请移步到历史文章中查看），尽早识别应用程序的风险意味着您可以防止或限制它部署到您的系统中（安全左移策略）。有了这些知识或工具，容器中任何可能造成损坏的漏洞都可以安全地留在由您的安全策略围栏后面。

00

你的应用安全吗？ ——用Xray和Synk保驾护航

在当下软件应用的开发过程当中，自研的内部代码所占的比例逐步地减少，开源的框架和共用库已经得到了广泛的引用。如下图所示，在一个Kubernetes部署的应用当中，我们自己开发代码所占的比例可能连0.1%都不到。

03

CapitalOne - 千亿资产银行如何进行唯一可信源的建设？(金融企业必看)

Capital one创立于1988年，最早是弗吉尼亚州Signet银行的信用卡部门；1994年，Signet将信用卡部门独立出来并在纽交所上市，于1995年更名为Capital One。自上市以来，Capital One的股价一路走高，成长为美国第五大零售银行和第八大银行。

03

JFrog助力Google Anthos混合云Devops实践，实现安全高质量的容器镜像管理

自Google Anthos推出以来在混合云领域受到极大关注，作为Google进入ToB混合云市场的战略级产品，Anthos集成了如GKE （Google Kubernetes Engine）、GKE On-Prem、Istio on GKE等……引起业界的关注。可以说这又是Google又一大利器。那么混合云作为企业数字化转型的重要基础设施建设，既留了核心数据，降低了迁移风险，又能在原来资源的基础上增加公共云的弹性，一举多得，成为当前云计算发展的热门话题。而作为数字化转型的另外一个风向标DevOps如何与当前的混合云发展进行协作，带向企业进入云原生时代，将会成日今后数字化建设的一个重要主题。

04

为DevOps团队新春送福—— JFrog与Docker建立突破性的合作伙伴关系

值此新春佳节将近之际，JFrog为广大DevOps团队奉上新春福利：我们宣布一项能够为我们的客户和整个DevOps社区带来实质性收益的重大举措，那就是，JFrog与Docker建立开创性的合作伙伴关系，使JFrog DevOps平台的云用户免于Docker Hub的镜像拉取的速度限制。

02

记录一个pom文件

rt <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0"

02

生产环境容器落地最佳实践 - JFrog 内部K8s落地旅程

Kubernetes已经成为市场上事实上领先的编配工具，不仅对技术公司如此，对所有公司都是如此，因为它允许您快速且可预测地部署应用程序、动态地伸缩应用程序、无缝地推出新特性，同时有效地利用硬件资源。

01

解决 Jenkins Artifactory Plugin 在 AIX 上传制品失败的问题

分享一个花了两天时间才解决的一个问题：使用 Jenkins Artifactory 插件上传制品到 https 协议的企业级的 Artifactory 失败。该问题只在 AIX 平台上出现的，其他 Windows，Linux, Unix 均正常。

02

绕开Docker Hub下载限制：JFrog Artifactory

您可能已经听到了有关最新的Docker声明，其中涉及容器镜像提取的速率限制。从11月1日开始，Docker将开始根据您的订阅级别限制Docker Hub的使用，并强制阻止超出限制的拉取请求。不仅如此，Docker还制定了一项新的保留政策，即免费帐户，6个月未活动的镜像将被删除（最初定于11月1日，由于社区的反馈，该政策已推迟到2021年中期）。这些新的限制将对如何使用世界公开的Docker容器镜像产生重大影响。

03

安全漏洞公告

1 Apache Tomcat XML外部实体信息泄露漏洞 Apache Tomcat XML外部实体信息泄露漏洞发布时间：2014-02-26漏洞编号：BUGTRAQ ID: 65768 CVE ID: CVE-2013-4590漏洞描述：Apache Tomcat是一个流行的开源JSP应用服务器程序。 Tomcat 8.0.0-RC1 - 8.0.0-RC5、7.0.0 - 7.0.47、6.0.0 - 6.0.37版本的XML(例如：web.xml, context.xml, *.tld, *.

08

【漏洞通告】Apache Tomcat 文件包含漏洞（CVE-2020-1938）通告

2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。目前，厂商已发布新版本完成漏洞修复。

03

漏洞复现 | (CVE-2020-1938)Apache Tomcat AJP文件包含漏洞复现(附POC)

2020年02月20日，国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞

01

Apache Tomcat再曝远程代码执行(CVE-2016-8735)

时隔十月发布的CVE-2016-5425 Apache Tomcat本地提权漏洞预警不久，近日Apache Tomcat又被爆出存在远程代码执行漏洞(CVE-2016-8735)。 Tomcat是运行

【威胁通告】Apache Tomcat 文件包含漏洞（CVE-2020-1938）威胁通告

2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。目前，厂商已发布新版本完成漏洞修复。

01

Tomcat被曝重大漏洞，影响过去 13 年的所有版本

近日，国内安全公司长亭科技披露一个在 Tomcat 中潜伏十多年的安全漏洞——Ghostcat （幽灵猫），其编号为 CVE-2020-1938 。

01

【漏洞复现】Tomcat文件包含漏洞的搭建与复现：CVE-2020-1938

2月14日，Apache Tomcat官方发布了一个安全更新版本，用于修复Tomcat中存在的一个利用AJP协议的漏洞。利用该漏洞，攻击者可以通过发送恶意的AJP请求，在未授权的情况下读取或者包含webapp目录下的任意文件。

02

安全资讯|所有版本的Apache Tomcat都受到Ghostcat漏洞的影响

Apache Tomcat的所有版本都受到名为Ghostcat的漏洞的影响，攻击者可以利用该漏洞读取配置文件或在易受攻击的服务器上安装后门程序。

02

JFrog Artifactory

Artifactory 是一个存放制品（Artifacts）的工具。当前，Artifactory 是一个非常有影响力，功能非常强大的工具。

07

Tomcat爆出严重漏洞，影响所有版本，波及约8万台服务器，附解决方案！（扩散！！！）

2月20日，CNVD（国家信息安全漏洞共享平台）公告知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞，攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件，甚至进一步执行任意代码，威胁信息安全，该漏洞将波及全球约8万台服务器。

03

Tomcat Ghostcat漏洞复现及修复

近日，长亭科技安全研究人员发现了一个存在于流行服务器Tomcat中的文件读取/包含漏洞，此漏洞命名为“幽灵猫”

02

常见web中间件漏洞总结 | Tomcat Nginx JBoss

中间件，顾名思义，是作为中间存在的一层，它下层对接硬件平台、操作系统、系统软件，上层部署的是各个应用。

04

Tomcat爆出严重漏洞，影响所有版本，附解决方案！

昨天，群里聊嗨了。大家都在远程办公，却都急急忙忙的升级线上的 Tomcat 版本，原因就是 Tomcat 被曝出了严重的漏洞，几乎涉及到所有的版本。

04

Artifactory Terrafrom plugin来了!

随着多云环境和DevOps普及，越来多的DevOps工程师要面临云上与云下资源的自动化管理问题。作为全球领先的Artifact Managenment软件供应商，JFrog的Artifactory也被众多知名企业采用，成为当前最流行的devops工具之一。那么通过什么方法能够在我们的云环境中快速部署一套Artifactory呢？相信大家都会立刻想起另外一个知名的IaC工具terraform。 JFrog正式提供了terraform插件，可以让大家通过IaC的方式快速部署Artifactory。

03

CVE-2020-9484反序列化远程代码执行漏洞

2020年05月21日，Apache官方发布了 Apache Tomcat 远程代码执行的风险通告，该漏洞编号为 CVE-2020-9484，官方对该漏洞评级：高危。

01

Tomcat 爆出高危漏洞！

2020年02月20日， 360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。

02

Tomcat 爆出高危漏洞！

安全公告编号：CNTA-2020-00042020年02月20日， 360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。CNVD-2020-10487/CVE-2020-1938是文件包含漏洞，攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件或源代码等。受影响的版本包括：Tomcat 6，Tomcat 7的7.0.100以下版本，Tomcat 8的8.5.51以下版本，Tomcat 9的9.0.31以下版本。CNVD 对该漏洞的综合评级为“高危”。

00

jfrog跨域问题处理

01

Tomcat 爆出高危漏洞！可导致网站、数据泄露！附解决方案

作者 | anquanke 来源 | anquanke.com/post/id/199448

02

Tomcat常见的漏洞总结

该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件，如:webapp配置文件或源代码等。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。

02

Tomcat 爆出高危漏洞！

2020年02月20日， 360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞。

02

CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

日前，长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞，并第一时间提交厂商修复。

Apache Tomcat文件包含漏洞紧急修复

Tomcat 漏洞 tomcat有漏洞, 需要升级到9.0.31 https://cert.360.cn/warning/detail?id=849be16c6d2dd909ff56eee7e26ae

01

实习记录(五) - AJP协议文件读取漏洞

Tomcat会开启AJP连接器，方便与其他Web服务器通过AJP协议进行交互。而Tomcat服务器8009端口上的AJP协议存在漏洞，攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件，如：webapp配置文件或源代码等

03

【漏洞复现】CVE-2020-1938（ghostcat）

Tomcat Connector 是 Tomcat 与外部连接的通道，它使得 Catalina 能够接收来自外部的请求，传递给对应的 Web 应用程序处理，并返回请求的响应结果

01

CVE-2020-1938 Tomcat 文件读取/包含漏洞复现

日前，长亭科技安全研究人员全球首次发现了一个存在于流行服务器 Tomcat 中的文件读取/包含漏洞，并第一时间提交厂商修复。

04

Tomcat脆弱性一览表

描述: 项目中会经常遇到Apache Tomcat中间件愈来愈多, 所以作为一个安全运维工作者，在工作中将Apache Tomcat中间件的几大较为重要的高危漏洞做一个总结整理复现。

02

Web中间件漏洞之Tomcat篇

Tomcat 服务器是一个免费的开放源代码的 Web 应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试 JSP 程序的首选。

03

Tomcat爆出安全漏洞！Spring Cloud/Boot框架多个版本受影响

导语：近期Apache Tomcat爆出 HTTP/2 拒绝服务漏洞，Spring Cloud/Boot框架的多个版本均已中招。本文整理了受影响的框架版本列表，并列出升级方案，帮助大家避免受到该漏洞的影响。

02

【漏洞公告】Tomcat信息泄漏和远程代码执行漏洞【高危】

2017年9月19日，Apache Tomcat官方确认并修复了两个高危漏洞，漏洞CVE编号:CVE-2017-12615和CVE-2017-12616,该漏洞受影响版本为7.0-7.80之间，在一定条件下，攻击者可以利用这两个漏洞，获取用户服务器上 JSP 文件的源代码，或是通过精心构造的攻击请求，向用户服务器上传恶意JSP文件，通过上传的 JSP 文件，可在用户服务器上执行任意代码，从而导致数据泄露或获取服务器权限，存在高安全风险。漏洞编号： CVE-2017-12615 CVE-

07

珂兰寺小课堂｜Tomcat系列漏洞复现

本篇文章是关于Tomcat历史漏洞的复现，介绍了以下3个漏洞的原理、利用方式及修复建议。

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭