前言：2020年2月20日，國(guó)家信息安全漏洞共享平臺(tái)(CNVD) 發(fā)布了【CNVD-2020-10487 Apache Tomcat文件包含漏洞】漏洞通告。Apache Tomcat服務(wù)器存在文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp 配置文件或源代碼等重要內(nèi)容，存在高危風(fēng)險(xiǎn)。

關(guān)于Apache Tomcat

Tomcat 服務(wù)器是基于Apache許可證下開發(fā)的自由軟件，由Apache軟件基金會(huì)下屬的Jakarta項(xiàng)目開發(fā)的一個(gè)Servlet容器，實(shí)現(xiàn)了對(duì)Servlet和JavaServer Page（JSP）的支持，并提供了作為Web服務(wù)器的一些特有功能，如Tomcat管理和控制平臺(tái)、安全域管理和Tomcat閥等。

作為免費(fèi)的開放源代碼的Web 應(yīng)用服務(wù)器，Tomcat在輕量級(jí)應(yīng)用服務(wù)器領(lǐng)域有廣泛的部署和應(yīng)用。通過公開途徑檢索使用AJP協(xié)議的主機(jī)，全中國(guó)有210981臺(tái)服務(wù)器正在使用受影響的AJP協(xié)議。

漏洞詳情

Apache Tomcat 的AJP協(xié)議存在缺陷，由于不安全的權(quán)限控制，通過AJP Connector可以直接操作應(yīng)用內(nèi)部數(shù)據(jù)或文件，從而觸發(fā)文件包含漏洞；惡意攻擊者可以通過該協(xié)議端口（默認(rèn)8009）提交構(gòu)造的攻擊代碼，成功利用該漏洞能夠獲取目標(biāo)系統(tǒng)敏感文件（如/etc/passwd、應(yīng)用配置文件等），甚至能夠通過該漏洞包含可控的上傳文件，執(zhí)行上傳文件中的惡意代碼，獲取服務(wù)器和系統(tǒng)的管理權(quán)限。

漏洞影響的Apache Tomcat版本范圍

l Tomcat 6

l Tomcat 7.* < 7.0.100

l Tomcat 8.* < 8.5.51

l Tomcat 9.* < 9.0.31

修復(fù)建議

1) Apache官方已發(fā)布針對(duì)此漏洞的更新版本，

建議用戶及時(shí)升級(jí)到已修復(fù)漏洞的版本

7.0.100/8.5.51/9.0.31，官方下載鏈接：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

2) 或采取臨時(shí)緩解措施加固系統(tǒng)，禁用AJP協(xié)議端口：

在conf/server.xml配置文件中注釋掉

///默認(rèn)端口為8009，用戶請(qǐng)根據(jù)實(shí)際情況進(jìn)行修改

漏洞免費(fèi)在線檢測(cè)

1. 在漏洞公開后， 聯(lián)軟科技安全實(shí)驗(yàn)室人員第一時(shí)間響應(yīng)，UniCSM網(wǎng)絡(luò)空間資產(chǎn)測(cè)繪系統(tǒng)（SaaS）平臺(tái)已支持針對(duì)CNVD-2020-10487漏洞進(jìn)行在線檢測(cè)。

2. 運(yùn)行Apache Tomcat軟件的客戶可以聯(lián)系我們免費(fèi)檢測(cè)。

【參考鏈接】

1. 國(guó)家信息安全漏洞共享平臺(tái)-CNVD-2020-10487

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

2. Apache Tomcat 官方鏈接：http://tomcat.apache.org/