关于Apache Tomcat服务器文件包含漏洞的预警提示
一、漏洞详情:
2020年2月20日,CNVD 发布了漏洞公告(CNVD-2020-10487),Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞,在未授权的情况下远程读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。鉴于漏洞风险较高,互联网已出现利用漏洞代码,容易被大规模利用攻击,建议各单位及时开展网络安全隐患排查和整改加固工作,提高安全防范能力,发现攻击情况及时处置并报告。
二、受影响范围:
序号 |
版本 |
1 |
Apache Tomcat 6 |
2 |
Apache Tomcat 7 < 7.0.100 |
3 |
Apache Tomcat 8 < 8.5.51 |
4 |
Apache Tomcat 9 < 9.0.31 |
三、建议修复方式:
针对上述情况,请各单位高度重视,做好资产清点,加强安全管理。梳理本单位管理的业务系统,查看系统版本是否在发布漏洞影响范围。如确认业务系统在受影响范围,按照以下方式进行修复。
(一)针对无需使用TomcatAJP协议的系统
1.Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,建议尽快升级新版本。
官方下载最新版下载地址:
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
2.无法立即进行版本更新、或者是老旧版本的系统,建议禁用AJP协议功能,具体操作如下:
(1)编辑 <CATALINA_BASE>/conf/server.xml,找到如下行(<CATALINA_BASE> 为 Tomcat 的工作目录): <Connectorport="8009"protocol="AJP/1.3"redirectPort="8443" /> (2)将此行注释掉(也可删掉该行): <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />--> (3)保存后需重新启动,规则方可生效。 |
(二)针对需要使用TomcatAJP协议的系统
1. Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复,建议尽快升级新版本;同时为AJP Connector配置secret 来设置AJP协议的认证凭证,具体操作如下:
<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"secret="YOUR_TOMCAT_AJP_SECRET"/> |
注:必须将YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值。
2.如确定使用TomcatAJP协议,且无法立即进行版本更新、或者是老旧版本的系统,建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证,具体操作如下:
<Connectorport="8009"protocol="AJP/1.3"redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" /> |
官方参考地址:https://tomcat.apache.org;https://www.cnvd.org.cn/webinfo/show/5415
地址:甘肃省兰州市安宁区安宁西路88号
电话:0931-4938423
邮箱:730070 
甘公网安备 62010502000478号 
