Apache Tomcat存在文件包含漏洞
该漏洞是由于Tomcat AJP协议存在缺陷而导致
攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件
若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。
影响范围
-
受影响版本
Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31 -
不受影响版本
Apache Tomcat = 7.0.100
Apache Tomcat = 8.5.51
Apache Tomcat = 9.0.31
修复建议
- 官方升级
- 如果不使用AJP协议,可直接关闭AJP Connector,或将其监听地址改为仅监听本机localhost
- 若需使用Tomcat AJP协议,可根据使用版本配置协议属性设置认证凭证。
(1)使用Tomcat 7和Tomcat 9的用户可为AJP Connector配置secret来设置AJP协议的认证凭证。例如(注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值):
<Connector port&#