國家資訊保安漏洞共享平臺（CNVD）近日釋出了一份關於 Apache Tomcat 存在檔案包含漏洞的安全，具體資訊如下：

安全公告編號：CNTA-2020-0004

2020 年 1 月 6 日，國家資訊保安漏洞共享平臺（CNVD）收錄了由北京長亭科技有限公司發現並報送的 Apache Tomcat 檔案包含漏洞（CNVD-2020-10487，對應 CVE-2020-1938）。攻擊者利用該漏洞，可在未授權的情況下遠端讀取特定目錄下的任意檔案。目前，漏洞細節尚未公開，廠商已釋出新版本完成漏洞修復。

一、漏洞情況分析

Tomcat 是 Apache 軟體基金會 Jakarta 專案中的一個核心專案，作為目前比較流行的 Web 應用伺服器，深受 Java 愛好者的喜愛，並得到了部分軟體開發商的認可。Tomcat 伺服器是一個免費的開放原始碼的 Web 應用伺服器，被普遍使用在輕量級 Web 應用服務的構架中。

2020 年 1 月 6 日，國家資訊保安漏洞共享平臺（CNVD）收錄了由北京長亭科技有限公司發現並報送的 Apache Tomcat 檔案包含漏洞。Tomcat AJP 協議由於存在實現缺陷導致相關引數可控，攻擊者利用該漏洞可透過構造特定引數，讀取伺服器 webapp 下的任意檔案。若伺服器端同時存在檔案上傳功能，攻擊者可進一步實現遠端程式碼的執行。

CNVD 對該漏洞的綜合評級為“高危”。

二、漏洞影響範圍

漏洞影響的產品版本包括：

CNVD 平臺對 Apache Tomcat AJP 協議在中國境內的分佈情況進行統計，結果顯示中國境內的 IP 數量約為 55.5 萬，透過技術檢測發現中國境內共有 43197 臺伺服器受此漏洞影響，影響比例約為 7.8%。

三、漏洞處置建議

目前，Apache 官方已釋出 9.0.31、8.5.51 及 7.0.100 版本對此漏洞進行修復，CNVD 建議使用者儘快升級新版本或採取臨時緩解措施：

1. 如未使用 Tomcat AJP 協議：

如未使用 Tomcat AJP 協議，可以直接將 Tomcat 升級到 9.0.31、8.5.51 或 7.0.100 版本進行漏洞修復。

如無法立即進行版本更新、或者是更老版本的使用者，建議直接關閉 AJPConnector，或將其監聽地址改為僅監聽本機 localhost。

漏洞是軟體無法避免的！

tomcat 這次漏洞不是什麼大問題，只不過是曾經的幾百個漏洞中的一個。

而且，這次的漏洞是ajp漏洞，是前面的apache httpd 連線 tomcat的一個內部協議。其實，現在這樣用的已經很少了。現在tomcat主要兩種使用方式：直接用 http協議提供服務；前端用nginx做負載均衡，後面tomcat還是用http。根本沒有ajp的位置，所以，沒必要大驚小怪。

這個漏洞最主要問題是：其實ajp協議預設是開啟的，監聽在8009埠，雖然你從不用，但他就是一直開著的。所以，可能很多人壓根沒注意到自己開著ajp。

其實，處理方法也很簡單：不用的，關掉就是了；要用的，限定一下訪問ip就是了。當然，還有終極大法：升級一下tomcat就好。

很小一件事，不知道為什麼這麼多人關注？！難道是疫情之下都閒的無聊嗎？！