CVE-2020-1938 Apache Tomcat文件包含漏洞

• 漏洞描述

Tomcat是Apache软件基金会Jakarta 项目中开发的Servlet容器。Tomcat服务器是一个免费的开放源代码的Web应用服务器，被普遍使用在轻量级Web应用服务的构架中。默认情况下，Apache Tomcat会开启AJP连接器，方便与其他Web服务器通过AJP协议进行交互。但Apache Tomcat在AJP协议的实现上存在漏洞，导致攻击者可以通过发送恶意的AJP请求，可以读取或者包含webapp目录下的任意文件，如：webapp 配置文件或源代码等。如果存在文件上传功能或存在可控内容的文件，将导致任意代码执行。

• 风险等级

  高风险

• 影响范围

  Apache Tomcat 6
  Apache Tomcat 7 < 7.0.100
  Apache Tomcat 8 < 8.5.51
  Apache Tomcat 9 < 9.0.31

• 处置方法

1、升级tomcat
目前，Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复，网络安全部建议受影响的系统尽快升级新版本
如使用了Tomcat AJP协议，升级同时为AJP Connector配置secret来设置AJP协议的认证凭证。
例：　　

2、临时缓解措施（无法立即进行版本更新）
2.1、如未使用Tomcat AJP协议：
直接关闭AJPConnector，或将其监听地址改为仅监听本机localhost。
具体操作：
（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

（2）将此行注释掉（也可删掉该行）：

<!-- <Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" /> -->

（3）保存后需重新启动，规则方可生效。

2.2、如使用了Tomcat AJP协议：　　
为AJPConnector配置requiredSecret来设置AJP协议认证凭证。
例：

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

• 点赞
• 收藏
• 分享
• 文章举报