Apache-Tomcat-Ajp漏洞(CVE-2020-1938)漏洞復現 和處理

漏洞具體情況參考：http://blog.nsfocus.net/cve-2020-1938/

復現方法參考：https://github.com/0nise/CVE-2020-1938

需要特別注意的是，之前的tomcat，AJP默認是打開的！！！！

 

本地復現，版本 Tomcat 7.0.95：

1. server.xml 配置：

 

 啟動tomcat，cmd，執行命令：

 

可以讀取文件。修改server.xml配置：

 

 在啟動tomcat，再次訪問測試：

 

 

被禁止訪問了。說明我們的配置起作用了。

 

http://blog.nsfocus.net/cve-2020-1938/ 該鏈接中說TOMCAT 7 使用 

address="127.0.0.1" secret="xxxxx"

應該是不對的。經過測試，Tomcat7  應該是使用：

address="127.0.0.1" requiredSecret="xxxx"

已測試為准！！！ 

為保險起見，最好都加上：

address="127.0.0.1" secret="xxxxx" requiredSecret="xxxx"