10487 Apache Tomcat 文件包含漏洞漏洞通告

1.漏洞介绍

2.脆弱性危害

由于Tomcat AJP协议的实现缺陷，其相关参数是可控的。攻击者可以通过构造特定的参数，利用此漏洞读取服务器webapp下的任意文件。如果服务器端有文件上传功能，攻击者可以进一步实现远程代码执行。

3.漏洞号

4.影响范围

Apache Tomcat 6

Apache Tomcat 7 & lt7.0.100

Apache Tomcat 8 & lt8.5.51

Apache Tomcat 9 & lt9.0.31

5.检测方法

用户可以通过查看版本号进行检查。通常在官网从Apache Tomcat下载的安装包名称中包含Tomcat的当前版本号。用户可以通过查看解压缩后的文件夹名称来确定当前版本。

或者您可以使用软件附带的版本模块来获取当前版本。进入Tomcat安装目录的bin目录，输入version.bat命令查看当前软件版本号。

6、修复措施

目前，Apache已经正式发布了9.0.31、8.5.51和7.0.100版本来修复这个漏洞。CNVD建议用户尽快升级新版本或采取临时缓解措施:

1.如果没有使用Tomcat AJP协议:

如果不使用Tomcat AJP协议，Tomcat可以直接升级到9.0.31、8.5.51或7.0.100版本进行漏洞修复。

如果您不能立即更新版本，或者如果您是旧版本的用户，建议直接关闭AJPConnector或更改其侦听地址，使其只侦听本地主机。

具体操作:

(1)编辑

& lt连接器端口="8009 "协议="AJP/1.3 "重定向端口="8443" />

(2)注释掉这一行(或删除):

& lt！-& lt；Connectorport="8009 "协议="AJP/1.3 "重定向端口="8443" />->;

(3)规则在保存后重新启动后才会生效。

2.如果使用Tomcat AJP协议:

建议Tomcat升级到9.0.31、8.5.51或7.0.100立即修复，同时为AJP连接器配置secret，设置AJP协议的认证证书。例如(请注意，您必须将您的_TOMCAT_AJP_SECRET更改为高度安全且不易被猜到的值):

& lt连接器端口="8009 "协议="AJP/1.3 "重定向端口="8443 "地址= "您_TOMCAT_IP_ADDRESS "机密= "您_ TOMCAT _ AJP _机密"/& gt；

如果您不能立即更新版本，或者您是旧版本的用户，建议配置AJPConnector的requiredSecret来设置AJP协议身份验证证书。例如(请注意，您必须将您的_TOMCAT_AJP_SECRET更改为高度安全且不易被猜到的值):

& lt连接器端口="8009 "协议="AJP/1.3 "重定向端口="8443 "地址= " YOUR _ TOMCAT _ IP _ ADDRESS "要求密码= " YU _ TOMCAT _ AJP _ SECRET "/& gt；

3.如果确认问题存在，无法采取上述措施，用户可以及时联系安信和程，安信和程会迅速为用户提供安全加固、安全策略调整等相关安全服务，进行应急响应，快速应对漏洞。