受影响版本
Apache Tomcat 6
Apache Tomcat 7x <7.0.100
Apache Tomcat 8x <8.5.51
Apache Tomcat 9x <9.0.31
未受影响版本
Tomcat 7.0.0100
Tomcat 8.5.51
Tomcat 9.0.31
修复方案
-
临时禁用AJP协议端口,在conf/server.xm l配置文件中注释掉<Connector port=“8009” protocol="AJP/1.3"redirectPort=“8443” />
-
配置ajp配置中的secretRequired跟secret属性来限制认证
-
官方下载最新版下载地址:
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
https://github.com/apache/tomcat/releases
POC
https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
参考文章:
关于Apache Tomcat存在文件包含漏洞的安全公告