2020年2月20日，金山云安全应急响应中心监控到国家信息安全漏洞共享平台(CNVD) 发布了Apache Tomcat文件包含漏洞的安全公告，对应漏洞编号为 CNVD-2020-10487、CVE-2020-1938，攻击者利用该漏洞可在未授权情况下读取webapp目录下所有文件。目前厂商已完成漏洞修复并发布了新版本，建议受影响的用户尽快进行升级，避免损失。

漏洞编号:

CVE-2020-1938

CNVD-2020-10487

漏洞名称:

Apache Tomcat文件包含漏洞

漏洞危害等级:

高危

漏洞描述:

由于Tomcat AJP协议的缺陷，导致攻击者可以利用该漏洞在未授权的条件下读取webapp目录下的所有文件。一定条件下（搭配文件上传功能），可导致远程代码执行。

影响版本:

Apache Tomcat 6 

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

修复方案：

1.     升级Apache Tomcat到以下安全版本：Apache Tomcat 7.0.100、Apache Tomcat 8.5.51、Apache Tomcat 9.0.31。

官网下载链接：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

Github下载链接：https://github.com/apache/tomcat/releases

2.  暂缓措施

（1）临时禁用AJP协议端口，在conf/server.xml配置文件中注释掉<Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />

（2）修改AJP配置中的secretRequired跟secret属性来限制认证，重启生效

参考链接:

https://www.cnvd.org.cn/webinfo/show/5415

北京金山云网络技术有限公司

2020/02/20