一、背景介绍

2月20日，国家信息安全漏洞共享平台（CNVD）近日发布了一份关于 Apache Tomcat 存在文件包含漏洞的安全公告，如下：

安全公告编号：CNTA-2020-0004

二、漏洞分析

漏洞危害：Tomcat AJP 协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器 webapp 下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。

漏洞影响的产品版本包括：Tomcat 6、Tomcat 7、Tomcat 8、Tomcat 9

根据腾讯安全网络资产风险监测系统（腾讯御知）提供的最新数据，当前采用AJP协议的国内IP数量为38283个，全网共80781个。国内大部分JAVA程序都是采用tomcat部署。

三、解决方案

目前，Apache官方已发布修复漏洞的新版本：Apache Tomcat 7.0.100、Apache Tomcat 8.5.51及 Apache Tomcat 9.0.31。用户可以直接升级到以上的版本。

如无法立即进行版本更新、或者是更老版本的用户，建议为直接关闭 AJPConnector，或将其监听地址改为仅监听本机 localhost。

1、编辑/conf/server.xml，找到如下行（为 Tomcat 的工作目录）

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

2、将此行注释掉（也可删掉该行）