Tomcat爆出严重漏洞，影响所有版本，波及约8万台服务器，附解决方案！（扩散！！！）

点击上方“码农沉思录”，选择“设为星标”

优质文章，及时送达

2月20日，CNVD（国家信息安全漏洞共享平台）公告知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞，攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件，甚至进一步执行任意代码，威胁信息安全，该漏洞将波及全球约8万台服务器。

一、漏洞原理

Apache Tomcat 是一个免费的开源 Web 应用服务器，在中小型企业和个人开发用户中广泛应用。 由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件。

具体来说就是 Apache Tomcat 服务器存在文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件或源代码等。

由于 Tomcat 默认开启的 AJP 服务（8009 端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响 Tomcat 服务器上的 Web 目录文件。

二、漏洞编号

根据资料显示，涉及到两个漏洞编号。

• CVE-2020-1938
• CNVD-2020-1048

三、漏洞影响的版本

据了解，Apache Tomcat 6、 Apache Tomcat 7 < 7.0.100、Apache Tomcat 8 < 8.5.51、Apache Tomcat 9 < 9.0.31等版本都将受到该漏洞影响。根据腾讯安全网络资产风险监测系统（腾讯御知）提供的最新数据，当前采用AJP协议的国内IP数量为38283个，全网共80781个。企业网管可采用腾讯安全网络资产风险监测系统全面检测企业网络资产是否受该漏洞影响。

五、漏洞修复方案

1、禁用Tomcat 的 AJP 协议端口，在 conf/server.xml 配置文件中注释掉 <Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />。

2、在 ajp 配置中的 secretRequired 跟 secret 属性来限制认证。

3、对 Tomcat 进行版本升级。

目前，Apache官方已发布修复漏洞的新版本：Apache Tomcat 7.0.100、Apache Tomcat 8.5.51及 Apache Tomcat 9.0.31，腾讯安全威胁情报中心专家建议用户尽快升级到安全版本。对于暂不能升级、未使用AJP协议的用户，专家建议直接关闭AJPConnector，或将其监听地址改为仅监听本机localhost。对于使用了AJP协议的用户，专家建议在升级的基础上为AJP Connector配置secret来设置AJP协议的认证凭证；如无法立即升级，建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。