國家信息安全漏洞共享平台（CNVD）近日發布了一份關於Apache Tomcat存在文件包含漏洞的安全公告，安全公告編號：CNTA-2020-0004，具體信息如下：

2020 年1 月6 日，國家信息安全漏洞共享平台（CNVD）收錄了由北京長亭科技有限公司發現並報送的Apache Tomcat 文件包含漏洞（CNVD-2020-10487，對應CVE-2020-1938）。攻擊者利用該漏洞，可在未授權的情況下遠程讀取特定目錄下的任意文件。目前，漏洞細節尚未公開，廠商已發布新版本完成漏洞修復。

一、漏洞情況分析

Tomcat 是Apache 軟件基金會Jakarta 項目中的一個核心項目，作為目前比較流行的Web 應用服務器，深受Java 愛好者的喜愛，並得到了部分軟件開發商的認可。Tomcat 服務器是一個免費的開放源代碼的Web 應用服務器，被普遍使用在輕量級Web 應用服務的構架中。

2020 年1 月6 日，國家信息安全漏洞共享平台（CNVD）收錄了由北京長亭科技有限公司發現並報送的Apache Tomcat 文件包含漏洞。Tomcat AJP 協議由於存在實現缺陷導致相關參數可控，攻擊者利用該漏洞可通過構造特定參數，讀取服務器webapp 下的任意文件。若服務器端同時存在文件上傳功能，攻擊者可進一步實現遠程代碼的執行。

CNVD 對該漏洞的綜合評級為“高危”。

二、漏洞影響範圍

漏洞影響的產品版本包括：

• Tomcat 6
• Tomcat 7
• Tomcat 8
• Tomcat 9

CNVD 平台對Apache Tomcat AJP 協議在我國境內的分佈情況進行統計，結果顯示我國境內的IP 數量約為55.5​​ 萬，通過技術檢測發現我國境內共有43197 台服務器受此漏洞影響，影響比例約為7.8%。

三、漏洞處置建議

目前，Apache 官方已發布9.0.31、8.5.51 及7.0.100 版本對此漏洞進行修復，CNVD 建議用戶盡快升級新版本或採取臨時緩解措施：

1. 如未使用Tomcat AJP 協議：

如未使用Tomcat AJP 協議，可以直接將Tomcat 升級到9.0.31、8.5.51 或7.0.100 版本進行漏洞修復。

如無法立即進行版本更新、或者是更老版本的用戶，建議直接關閉AJPConnector，或將其監聽地址改為僅監聽本機localhost。

具體操作：

（1）編輯<CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 為Tomcat 的工作目錄）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

（2）將此行註釋掉（也可刪掉該行）：

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

（3）保存後需重新啟動，規則方可生效。

2. 如果使用了Tomcat AJP 協議：

建議將Tomcat 立即升級到9.0.31、8.5.51 或7.0.100 版本進行修復，同時為AJP Connector 配置secret 來設置AJP 協議的認證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

如無法立即進行版本更新、或者是更老版本的用戶，建議為AJPConnector 配置requiredSecret 來設置AJP 協議認證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET 更改為一個安全性高、無法被輕易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

附：參考鏈接

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for