Tomcat AJP 文件包含漏洞（CVE-2020-1938） 修复方案

漏洞原理：

Tomcat 配置了两个 Connecto，它们分别是 HTTP 和 AJP ：HTTP 默认端口为 8080，处理 http 请求，而 AJP 默认端口 8009，用于处理 AJP 协议的请求，而 AJP 比 http 更加优化，多用于反向、集群等，漏洞由于 Tomcat AJP 协议存在缺陷而导致，攻击者利用该漏洞可通过构造特定参数，读取服务器 webapp 下的任意文件以及可以包含任意文件，如果有某上传点，上传图片马等等，即可以获取 shell。

漏洞版本：

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

 

漏洞修复（官方方案）：

1. 如未使用 Tomcat AJP 协议：

如未使用 Tomcat AJP 协议，可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。

如无法立即进行版本更新、或者是更老版本的用户，建议直接关闭 AJPConnector，或将其监听地址改为仅监听本机 localhost。

具体操作：

（1）编辑 <CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

（2）将此行注释掉（也可删掉该行）

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

（3）保存后需重新启动，规则方可生效。