2月20日,CNVD(国家信息安全漏洞共享平台)公告知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞,攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件,甚至进一步执行任意代码,威胁信息安全,该漏洞将波及全球约8万台服务器。
由于Tomcat默认开启的AJP服务(8009端口)存在一处文件包含缺陷,攻击者可构造恶意的请求包进行文件包含操作,进而读取受影响Tomcat服务器上的Web目录文件。
Apache Tomcat 6、 Apache Tomcat 7 < 7.0.100、Apache Tomcat 8 < 8.5.51、Apache Tomcat 9 < 9.0.31等版本都将受到该漏洞影响。
本次缺陷设计AJP协议,经核查,我们并没有使用 😄
所以使用了最简单的方式处理,将conf/server.xml配置文件中的
直接注释掉重启。
附其他解决方式:
- 如未使用 Tomcat AJP 协议,可以将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。
- 如果使用了Tomcat AJP协议
将Tomcat升级到9.0.31、8.5.51或7.0.100版本进行修复,同时为AJP Connector配置secret来设置AJP协议的认证凭证。