2月20日，国家信息安全漏洞共享平台（CNVD）发布了Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）。该漏洞是由于Tomcat AJP协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能，攻击者可进一步实现远程代码执行。目前，厂商已发布新版本完成漏洞修复。

Tomcat是Apache软件基金会中的一个重要项目，性能稳定且免费，是目前较为流行的Web应用服务器。由于Tomcat应用范围较广，因此本次通告的漏洞影响范围较大，请相关用户及时采取防护措施修复此漏洞。

Apache Tomcat 服务器存在文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件或源代码等。漏洞原因是由于Apache Tomcat AJP 协议不安全权限控制，可通过 AJP Connector 直接操作内部数据从而触发文件包含漏洞，恶意攻击者可以通过该协议端口（默认 8009），构造可控参数数据提交攻击代码，成功利用漏洞能获取目标系统敏感文件内容，或在控制可上传文件的情况下执行恶意代码获取管理权限。

 

漏洞影响的产品版本包括：

Tomcat 6

Tomcat 7

Tomcat 8

Tomcat 9

CNVD平台对Apache Tomcat AJP协议在我国境内的分布情况进行统计，结果显示我国境内的IP数量约为55.5万，通过技术检测发现我国境内共有43197台服务器受此漏洞影响，影响比例约为7.8%。

 

目前，Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复，CNVD建议用户尽快升级新版本或采取临时缓解措施：

1.   如未使用Tomcat AJP协议：

如未使用 Tomcat AJP 协议，可以直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户，建议直接关闭AJPConnector，或将其监听地址改为仅监听本机localhost。

具体操作：

（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

（2）将此行注释掉（也可删掉该行）：

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

（3）保存后需重新启动，规则方可生效。

2.   如果使用了Tomcat AJP协议：

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100版本进行修复，同时为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS" secret="YOUR_TOMCAT_AJP_SECRET"/>

如无法立即进行版本更新、或者是更老版本的用户，建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

 

附：参考链接：

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html

https://tomcat.apache.org/tomcat-8.0-doc/config/ajp.html

https://stackoverflow.com/questions/21757694/what-is-ajp-protocol-used-for

 

                         安全公告编号:LC-2020-0003

漏洞名称	Apache Tomcat文件包含漏洞（CNVD-2020-10487/CVE-2020-1938）
漏洞危害	攻击者利用此漏洞，可未授权读取任意文件。
漏洞危害等级	高危
漏洞影响版本	Apache Tomcat 6.* Apache Tomcat 7.* < 7.0.100 Apache Tomcat 8.* < 8.5.51 Apache Tomcat 9.* < 9.0.31
厂商是否已发布漏洞补丁	是
版本更新地址	https://tomcat.apache.org/download-70.cgi https://tomcat.apache.org/download-80.cgi https://tomcat.apache.org/download-90.cgi
砺承科技发布通告日期	2020年2月21日
砺承科技更新通告日期	2020年2月21日
发布者	砺承科技

 

 

声明

本安全公告仅用来描述可能存在的安全问题，砺承科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，砺承科技以及安全公告作者不为此承担任何责任。            

砺承科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经砺承科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。