各校内网用户:
近期,Apache Tomcat被曝存在Tomcat-AJP协议漏洞(CVE-2020-1938),漏洞危害等级为“高”。对存在该漏洞的服务器,攻击者可利用该漏洞读取或包含Tomcat上webapp目录下的任意文件,如webapp配置文件和源代码等。
一、漏洞影响范围
安装以下版本的tomcat的服务器:
ApacheTomcat9.x < 9.0.31
ApacheTomcat8.x < 8.5.51
ApacheTomcat7.x < 7.0.100
ApacheTomcat6.x
二、加固建议
1、更新版本
Tomcat 官方已发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。无论是否使用Tomcat AJP 协议,都建议更新。具体:
Apache Tomcat 9.x < 9.0.31,更新至9.0.31;
ApacheTomcat8.x < 8.5.51,更新至8.5.51;
ApacheTomcat7.x < 7.0.100,更新至7.0.100
ApacheTomcat6.x,更新至7.0.100、8.5.51或9.0.31。
官方下载最新版下载地址:
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
或Github下载:
https