2月20日,CNVD(國家信息安全漏洞共享平台)公告知名Web應用服務器Apache Tomcat被爆存在文件包含漏洞,攻擊者可在受影響的Apache Tomcat服務器上非法讀取Web目錄文件,甚至進一步執行任意代碼,威脅信息安全,該漏洞將波及全球約8萬台服務器。
由於Tomcat默認開啟的AJP服務(8009端口)存在一處文件包含缺陷,攻擊者可構造惡意的請求包進行文件包含操作,進而讀取受影響Tomcat服務器上的Web目錄文件。
Apache Tomcat 6、 Apache Tomcat 7 < 7.0.100、Apache Tomcat 8 < 8.5.51、Apache Tomcat 9 < 9.0.31等版本都將受到該漏洞影響。
本次缺陷設計AJP協議,經核查,我們並沒有使用 😄
所以使用了最簡單的方式處理,將conf/server.xml配置文件中的
直接注釋掉重啟。
附其他解決方式:
- 如未使用 Tomcat AJP 協議,可以將 Tomcat 升級到 9.0.31、8.5.51或 7.0.100 版本進行漏洞修復。
- 如果使用了Tomcat AJP協議
將Tomcat升級到9.0.31、8.5.51或7.0.100版本進行修復,同時為AJP Connector配置secret來設置AJP協議的認證憑證。