針對Tomcat文件包含高危漏洞 | 黑盾云提供在線免費檢測

2月20日，國家信息安全漏洞共享平臺（CNVD）發布關于Apache Tomcat的安全公告，該漏洞綜合評級為高危，漏洞 CVE 編號 CVE-2020-1938。

Tomcat是Apache軟件基金會中的一個重要項目，性能穩定且免費，是目前較為流行的Web應用服務器。由于該漏洞影響面廣，危害大。黑盾安全矩陣實驗室開發了該漏洞的在線檢測工具，方便網站管理員快速檢測是否受到該漏洞的影響，請相關用戶及時采取防護措施修復此漏洞。

黑盾云重大漏洞在線測試PoC地址如下：

http://www.heiduncloud.cn/Safetyservice/onlinescanner.html

【漏洞描述】

由于 Tomcat AJP協議設計的缺陷，存在文件包含漏洞：攻擊者可利用Tomcat AJP Connector讀取或包含webapp目錄下的任意文件，如配置文件或項目源代碼。此外，在目標應用有文件上傳功能的情況下，配合文件包含的利用，可遠程執行任意代碼，進而控制服務器。 

【漏洞危害】

利用此漏洞可讀取Tomcat webapp目錄下任意文件，造成重要文件數據泄露，同時如果應用場景存在上傳功能，可利用上傳模塊配合文件包含的利用，可造成服務器被遠程控制。

【漏洞復現】

在本地測試，確認可讀取webapp下任意文件，下圖為讀取xml配置文件的驗證截圖：

【漏洞影響版本】

Tomcat 6、Tomcat 7、Tomcat 8、Tomcat9

【修復方案】

1、升級版本

目前，Apache官方已發布9.0.31、8.5.51及7.0.100版本對此漏洞進行修復，建議用戶盡快升級新版本：

Tomcat7 升級至7.0.100版本

Tomcat8 升級至8.5.51版本

Tomcat9 升級至9.0.31版本

官方下載最新版下載地址：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

2、臨時采取臨時緩解措施：

a、編輯 <CATALINA_BASE>/conf/server.xml，找到如下行（默認開啟的）：

將此行注釋掉（也可刪掉該行）：

注釋完注意重啟tomcat

b、為AJP Connector協議配置requiredSecret安全性高、無法被輕易破解的值，來設置AJP協議認證憑證：

<Connectorport="8009"protocol="AJP/1.3" redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret="YOUR_TOMCAT_AJP_SECRET" />

【參考資料】

https://www.cnvd.org.cn/webinfo/show/5415