一、漏洞描述
Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。
Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。
二、漏洞危害等级
高
三、影响版本
该文件包含漏洞影响以下版本:
-
7.*分支7.0.100之前版本,建议更新到7.0.100版本;
-
8.*分支8.5.51之前版本,建议更新到8.5.51版本;
-
9.*分支9.0.31之前版本,建议更新到9.0.31版本。
四、漏洞原理
tomcat默认的conf/server.xml中配置了2个Connector,一个为8080的对外提供的HTTP协议端口,另外一个就是默认的8009 AJP协议端口,两个端口默认均监听在外网ip。
如下图: