CNVD对该漏洞评级为“高危”!
2020年2月20日,360CERT 监测发现国家信息安全漏洞共享平台(CNVD) 收录了 CNVD-2020-10487 Apache Tomcat文件包含漏洞,
此漏洞为文件包含漏洞,攻击者可利用该高危漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,
如:webapp 配置文件或源代码等
受影响的版本包括:Tomcat 6,Tomcat 7的7.0.100以下版本,Tomcat 8的8.5.51以下版本,Tomcat 9的9.0.31以下版本。
此高危漏洞的防护目前可知有以下两种方法:
排查使用AJP Connector的方法
由于一般情况下AJP Connector用于Tomcat和Apache Web Server之间的高速二进制通信,
因此可以通过判定系统是否安装了Apache Web Server和其中的JK、http_proxy、ajp_proxy模块来判定,
相关模块在Apache Web Server安装目录下的modules,通过检查“conf.modules.d”目录中是否配置以上三个模块,如果有则表示使用了该连接器。
对于使用了该连接器的项目,只有升级这一种处理方法。
1.升级至Tomcat 8.5.51版本
Tomcat下载地址 https://mirror.bit.edu.cn/apache/tomcat/tomcat-8/v8.5.51/bin/
2.卸载AJP Connector模块
在Tomcat/conf/目录 server.xml中删除或注释以下内容:
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
如果选择注释,请按以下语法注释
<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->