官网传送门:https://tomcat.apache.org/download-90.cgi
64位免安装版,下载之后直接解压,即可使用(tomcat7往后就可以不用配置系统变量了)。
bin目录下startup启动,出现乱码情况:
解决方案:tomcat的conf下logging.properties文件,修改当中的编码格式为GBK格式,随后重启服务器。
2月20号,公布了编号:CNTA-2020-0004的漏洞公告,提示Apache Tomcat AJP协议存在高危安全漏洞(CNVD-2020-10487)。
攻击者可在未授权的情况下远程读取特定目录下的任意文件,在部分条件下可通过文件包含在服务器上执行任意代码。
漏洞具体描述:
该漏洞影响本次安全更新前的全版本默认配置下的Tomcat,攻击者可在未授权的情况下利用Tomcat AJP Connector读取或包含Tomcat webapp目录下的任意文件,不限于class、xml、jar等文件。如果目标机存在文件可控功能点如图片上传、模板编辑等,该漏洞配合文件包含的利用还可以达到远程代码执行漏洞的效果。
受影响的Tomcat版本:
Apache Tomcat 9.x < 9.0.31
Apache Tomcat 8.x < 8.5.51
Apache Tomcat 7.x < 7.0.100
Apache Tomcat 6.x
解决方案:
1,升级Tomcat的版本
Tomcat7 升至 7.0.100
Tomcat8 升至 8.5.51
Tomcat 9 升至 9.0.31
2,修改tomcat配置
由于此漏洞只会对于 AJP 协议的 Connector 有影响,默认情况下 AJP 协议是打开的,但是 AJP 必须结合 httpd 一起工作才能起作用,如果您的应用中没有使用到 httpd,是可以关闭的,关闭的方式为:
找到 conf/server.xml 文件中的 <Connector port="8009" protocol="AJP/1.3"> 注释相关配置。
3,关闭受暴露的端口号
比如这次暴露出的端口是8009,直接限制8009端口的入站即可。或改成只允许固定信任端口访问。