【安全通告】Apache Tomcat 文件包含漏洞（CNVD-2020-10487）

概述

腾讯安全威胁情报中心检测到知名Web应用服务器Apache Tomcat被爆存在文件包含漏洞，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Apache Tomcat服务器上的Web目录文件。

漏洞详情

Apache Tomcat 是一个免费的开源 Web 应用服务器，在中小型企业和个人开发用户中有着广泛的应用。

由于Tomcat默认开启的AJP服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响Tomcat服务器上的Web目录文件。

风险等级：高危

漏洞影响

攻击者可在受影响的Apache Tomcat服务器上非法读取Web目录文件。

影响范围

· Apache Tomcat 6

· Apache Tomcat 7 < 7.0.100

· Apache Tomcat 8 < 8.5.51

· Apache Tomcat 9 < 9.0.31

安全版本

· Apache Tomcat 7.0.100

· Apache Tomcat 8.5.51

· Apache Tomcat 9.0.31

修复建议

目前Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复，腾讯安全威胁情报中心建议用户尽快升级到安全版本，或采取以下临时缓解措施：

1. 如未使用Tomcat AJP协议：

如未使用 Tomcat AJP 协议，可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户，建议直接关闭AJPConnector，或将其监听地址改为仅监听本机localhost。

2. 如果使用了Tomcat AJP协议：

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复，同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

如无法立即进行版本更新、或者是更老版本的用户，建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

（1）Tomcat 官网：

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

（2）https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

（3）CNVD公告：https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487