前言：2020年2月20日，国家信息安全漏洞共享平台(CNVD) 发布了【CNVD-2020-10487 Apache Tomcat文件包含漏洞】漏洞通告。Apache Tomcat服务器存在文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件或源代码等重要内容，存在高危风险。

关于Apache Tomcat

Tomcat 服务器是基于Apache许可证下开发的自由软件，由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器，实现了对Servlet和JavaServer Page（JSP）的支持，并提供了作为Web服务器的一些特有功能，如Tomcat管理和控制平台、安全域管理和Tomcat阀等。

作为免费的开放源代码的Web 应用服务器，Tomcat在轻量级应用服务器领域有广泛的部署和应用。通过公开途径检索使用AJP协议的主机，全中国有210981台服务器正在使用受影响的AJP协议。

漏洞详情

Apache Tomcat 的AJP协议存在缺陷，由于不安全的权限控制，通过AJP Connector可以直接操作应用内部数据或文件，从而触发文件包含漏洞；恶意攻击者可以通过该协议端口（默认8009）提交构造的攻击代码，成功利用该漏洞能够获取目标系统敏感文件（如/etc/passwd、应用配置文件等），甚至能够通过该漏洞包含可控的上传文件，执行上传文件中的恶意代码，获取服务器和系统的管理权限。

漏洞影响的Apache Tomcat版本范围

l Tomcat 6

l Tomcat 7.* < 7.0.100

l Tomcat 8.* < 8.5.51

l Tomcat 9.* < 9.0.31

修复建议

1) Apache官方已发布针对此漏洞的更新版本，

建议用户及时升级到已修复漏洞的版本

7.0.100/8.5.51/9.0.31，官方下载链接：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

2) 或采取临时缓解措施加固系统，禁用AJP协议端口：

在conf/server.xml配置文件中注释掉

///默认端口为8009，用户请根据实际情况进行修改

漏洞免费在线检测

1. 在漏洞公开后， 联软科技安全实验室人员第一时间响应，UniCSM网络空间资产测绘系统（SaaS）平台已支持针对CNVD-2020-10487漏洞进行在线检测。

2. 运行Apache Tomcat软件的客户可以联系我们免费检测。

【参考链接】

1. 国家信息安全漏洞共享平台-CNVD-2020-10487

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

2. Apache Tomcat 官方链接：http://tomcat.apache.org/