2020年1月6日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了由北京長亭科技有限公司發(fā)現(xiàn)并報(bào)送的Apache Tomcat文件包含漏洞（CNVD-2020-10487，對(duì)應(yīng)CVE-2020-1938）。攻擊者利用該漏洞，可在未授權(quán)的情況下遠(yuǎn)程讀取特定目錄下的任意文件。目前，漏洞細(xì)節(jié)尚未公開，廠商已發(fā)布新版本完成漏洞修復(fù)。

       一、漏洞情況分析
       Tomcat是Apache軟件基金會(huì)Jakarta 項(xiàng)目中的一個(gè)核心項(xiàng)目，Tomcat服務(wù)器是一個(gè)免費(fèi)的開放源代碼的Web應(yīng)用服務(wù)器，被普遍使用在輕量級(jí)Web應(yīng)用服務(wù)的構(gòu)架中，并深受Java愛好者的喜愛，并得到了部分軟件開發(fā)商的認(rèn)可。

       2020年1月6日，國家信息安全漏洞共享平臺(tái)（CNVD）收錄了由北京長亭科技有限公司發(fā)現(xiàn)并報(bào)送的Apache Tomcat文件包含漏洞。Tomcat AJP協(xié)議由于存在實(shí)現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控，攻擊者利用該漏洞可通過構(gòu)造特定參數(shù)，讀取服務(wù)器webapp下的任意文件。若服務(wù)器端同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼的執(zhí)行。CNVD對(duì)該漏洞的綜合評(píng)級(jí)為“高?！?。

       二、漏洞影響范圍
       CNVD平臺(tái)對(duì)Apache Tomcat AJP協(xié)議在我國境內(nèi)的分布情況進(jìn)行統(tǒng)計(jì)，結(jié)果顯示我國境內(nèi)的IP數(shù)量約為55.5萬，通過技術(shù)檢測發(fā)現(xiàn)我國境內(nèi)共有43197臺(tái)服務(wù)器受此漏洞影響，影響比例約為7.8%。

       三、漏洞處置建議
       目前，Apache官方已發(fā)布9.0.31、8.5.51及7.0.100版本對(duì)此漏洞進(jìn)行修復(fù)，CNVD建議用戶盡快升級(jí)新版本或采取臨時(shí)緩解措施：

       1.如未使用Tomcat AJP協(xié)議：
       如未使用 Tomcat AJP 協(xié)議，可以直接將 Tomcat 升級(jí)到 9.0.31、8.5.51或 7.0.100 版本進(jìn)行漏洞修復(fù)。
       如無法立即進(jìn)行版本更新、或者是更老版本的用戶，建議直接關(guān)閉AJPConnector，或?qū)⑵浔O(jiān)聽地址改為僅監(jiān)聽本機(jī)localhost。

       2.如果使用了Tomcat AJP協(xié)議：
       建議將Tomcat立即升級(jí)到9.0.31、8.5.51或7.0.100版本進(jìn)行修復(fù)，同時(shí)為AJP Connector配置secret來設(shè)置AJP協(xié)議的認(rèn)證憑證。
       如無法立即進(jìn)行版本更新、或者是更老版本的用戶，建議為AJPConnector配requiredSecret來設(shè)置AJP協(xié)議認(rèn)證憑證。

附：參考鏈接：
https://www.cnvd.org.cn/webinfo/show/5415
https://idc.wanyunshuju.com/webaq/1294.html