2月20日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導(dǎo)致，攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù)，讀取服務(wù)器webapp下的任意文件。若目標(biāo)服務(wù)器同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前，廠(chǎng)商已發(fā)布新版本完成漏洞修復(fù)。

一.  漏洞概述

2月20日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）發(fā)布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。該漏洞是由于Tomcat AJP協(xié)議存在缺陷而導(dǎo)致，攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù)，讀取服務(wù)器webapp下的任意文件。若目標(biāo)服務(wù)器同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前，廠(chǎng)商已發(fā)布新版本完成漏洞修復(fù)。

Tomcat是Apache軟件基金會(huì)中的一個(gè)重要項(xiàng)目，性能穩(wěn)定且免費(fèi)，是目前較為流行的Web應(yīng)用服務(wù)器。由于Tomcat應(yīng)用范圍較廣，因此本次通告的漏洞影響范圍較大，請(qǐng)相關(guān)用戶(hù)及時(shí)采取防護(hù)措施修復(fù)此漏洞。

參考鏈接：

http://www.tjdsmy.cn/webinfo/show/5415

二、影響范圍

受影響版本

• Apache Tomcat 6

• Apache Tomcat 7 < 7.0.100

• Apache Tomcat 8 < 8.5.51

• Apache Tomcat 9 < 9.0.31

不受影響版本

• Apache Tomcat = 7.0.100

• Apache Tomcat = 8.5.51

• Apache Tomcat = 9.0.31

三、漏洞檢測(cè)

3.1版本檢測(cè)

通常在Apache Tomcat官網(wǎng)下載的安裝包名稱(chēng)中會(huì)包含有當(dāng)前Tomcat的版本號(hào)，用戶(hù)可通過(guò)查看解壓后的文件夾名稱(chēng)來(lái)確定當(dāng)前的版本。

如果解壓后的Tomcat目錄名稱(chēng)被修改過(guò)，或者通過(guò)Windows Service Installer方式安裝，可使用軟件自帶的version模塊來(lái)獲取當(dāng)前的版本。進(jìn)入Tomcat安裝目錄的bin目錄，輸入命令version.bat后，可查看當(dāng)前的軟件版本號(hào)。

若當(dāng)前版本在受影響范圍內(nèi)，則可能存在安全風(fēng)險(xiǎn)。

四、漏洞防護(hù)

4.1官方升級(jí)

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶(hù)盡快升級(jí)版本進(jìn)行防護(hù)，官方下載鏈接：

4.2其他防護(hù)措施

如果相關(guān)用戶(hù)暫時(shí)無(wú)法進(jìn)行版本升級(jí)，可根據(jù)自身情況采用下列防護(hù)措施。

一:若不需要使用Tomcat AJP協(xié)議，可直接關(guān)閉AJP Connector，或?qū)⑵浔O(jiān)聽(tīng)地址改為僅監(jiān)聽(tīng)本機(jī)localhost。

具體操作：

（1）編輯 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 為 Tomcat 的工作目錄）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

（2）將此行注釋掉（也可刪掉該行）：

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

（3）保存后需重新啟動(dòng)Tomcat，規(guī)則方可生效。

二：若需使用Tomcat AJP協(xié)議，可根據(jù)使用版本配置協(xié)議屬性設(shè)置認(rèn)證憑證。

使用Tomcat 7和Tomcat 9的用戶(hù)可為AJP Connector配置secret來(lái)設(shè)置AJP協(xié)議的認(rèn)證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

使用Tomcat 8的用戶(hù)可為AJP Connector配置requiredSecret來(lái)設(shè)置AJP協(xié)議的認(rèn)證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個(gè)安全性高、無(wú)法被輕易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />