大工网安告[2020]007号

一、情况分析

近期国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞（CNVD-2020-10487，对应CVE-2020-1938）。Tomcat AJP协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。

CNVD对该漏洞的综合评级为“高危”。

目前互联网中已经出现该漏洞的poc程序，漏洞利用已经较容易。

CNVD平台对Apache Tomcat AJP协议在我国境内的分布情况进行统计，结果显示我国境内的IP数量约为55.5万，通过技术检测发现我国境内共有43197台服务器受此漏洞影响，影响比例约为7.8%。

该漏洞影响面较广，威胁较大，比较容易利用，需密切关注，及时修复。

二、影响范围

漏洞影响的产品版本包括：Tomcat 6、7、8、9

三、处置建议

目前，Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复，对于可升级的系统，建议用户尽快升级新版本。如果使用了AJP协议，同时建议为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

如无法立即进行版本更新、或者是更老版本的用户，可参考以下建议：

1. 如未使用Tomcat AJP协议：建议直接关闭AJPConnector，或将其监听地址改为仅监听本机。
    具体操作：
   （1）编辑 /conf/server.xml，找到如下行（ 为 Tomcat 的工作目录）：
   
   （2）将此行注释掉（也可删掉该行）：
   
   （3）保存后需重新启动，规则方可生效。

2. 如果使用了Tomcat AJP协议：

    建议为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

附：参考链接：