一、漏洞情况描述
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞:Tomcat AJP协议由于存在实现缺陷导致相关参数可控,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能,攻击者可进一步实现远程代码的执行。
二、漏洞影响范围
漏洞影响的产品版本包括:
Tomcat 6、Tomcat 7、Tomcat 8、Tomcat 9
三、漏洞处置方法
目前Apache官方已发布9.0.31、8.5.51及7.0.100版本(Tomcat 6.x版本已停止维护),可直接将 Tomcat 升级到 9.0.31、8.5.51或 7.0.100 版本进行漏洞修复。
另外网站群产品,默认未使用Tomcat AJP协议,生产环境,可以直接关闭AJPConnector,具体操作如下:
(1)编辑 tomcat/conf/server.xml,找到如下行并删除:
<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
(2)将此行注释掉(也可删掉该行):
<!--<Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />-->
(3)文件保存后需重新启动Tomcat,配置生效;
(4)检查8009端口是否已经停止:
Linux:
# 执行执行以下命令,有返回则说明8009启用了,没有则没有开启
netstat -lnt | grep 8009
Windows:
# cmd执行,如果有返回则表示8009端口开启了,没有返回则没有开启
netstat -ano|find "8009"|find "LISTENING"