Tomcat爆出嚴重漏洞，影響所有版本，波及約8萬台服務器，附解決方案！（擴散！！！）

• 2020 年 3 月 2 日
• 筆記

點擊上方「碼農沉思錄」，選擇「設為星標」

優質文章，及時送達

2月20日，CNVD（國家信息安全漏洞共享平台）公告知名Web應用服務器Apache Tomcat被爆存在文件包含漏洞，攻擊者可在受影響的Apache Tomcat服務器上非法讀取Web目錄文件，甚至進一步執行任意代碼，威脅信息安全，該漏洞將波及全球約8萬台服務器。

一、漏洞原理

Apache Tomcat 是一個免費的開源 Web 應用服務器，在中小型企業和個人開發用戶中廣泛應用。 由於Tomcat默認開啟的AJP服務（8009端口）存在一處文件包含缺陷，攻擊者可構造惡意的請求包進行文件包含操作，進而讀取受影響Tomcat服務器上的Web目錄文件。

具體來說就是 Apache Tomcat 服務器存在文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp 配置文件或源代碼等。

由於 Tomcat 默認開啟的 AJP 服務（8009 端口）存在一處文件包含缺陷，攻擊者可構造惡意的請求包進行文件包含操作，進而讀取受影響 Tomcat 服務器上的 Web 目錄文件。

二、漏洞編號

根據資料顯示，涉及到兩個漏洞編號。

• CVE-2020-1938
• CNVD-2020-1048

三、漏洞影響的版本

據了解，Apache Tomcat 6、 Apache Tomcat 7 < 7.0.100、Apache Tomcat 8 < 8.5.51、Apache Tomcat 9 < 9.0.31等版本都將受到該漏洞影響。根據騰訊安全網絡資產風險監測系統（騰訊御知）提供的最新數據，當前採用AJP協議的國內IP數量為38283個，全網共80781個。企業網管可採用騰訊安全網絡資產風險監測系統全面檢測企業網絡資產是否受該漏洞影響。

五、漏洞修復方案

1、禁用Tomcat 的 AJP 協議端口，在 conf/server.xml 配置文件中注釋掉 <Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />。

2、在 ajp 配置中的 secretRequired 跟 secret 屬性來限制認證。

3、對 Tomcat 進行版本升級。

目前，Apache官方已發佈修復漏洞的新版本：Apache Tomcat 7.0.100、Apache Tomcat 8.5.51及 Apache Tomcat 9.0.31，騰訊安全威脅情報中心專家建議用戶儘快升級到安全版本。對於暫不能升級、未使用AJP協議的用戶，專家建議直接關閉AJPConnector，或將其監聽地址改為僅監聽本機localhost。對於使用了AJP協議的用戶，專家建議在升級的基礎上為AJP Connector配置secret來設置AJP協議的認證憑證；如無法立即升級，建議為AJPConnector配置requiredSecret來設置AJP協議認證憑證。