2020年2月20日，阿里云应急响应中心监测到CNVD披露 Apache Tomcat 服务器存在文件读取与包含高危漏洞。

漏洞描述

Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。默认情况下，Apache Tomcat会开启AJP连接器，方便与其他Web服务器通过AJP协议进行交互。但Apache Tomcat在AJP协议的实现上存在漏洞，导致攻击者可以通过发送恶意的AJP请求，可以读取或者包含Web应用根目录下的任意文件，如果存在文件上传功能，将可以导致任意代码执行。漏洞利用AJP服务端口实现攻击，未开启AJP服务对外不受漏洞影响（tomcat默认将AJP服务开启并绑定至0.0.0.0）。阿里云应急响应中心提醒 Apache Tomcat用户尽快排查AJP端口对外情况并采取安全措施阻止漏洞攻击。

影响版本

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

安全版本

Apache Tomcat 7.0.100

Apache Tomcat 8.5.51

Apache Tomcat 9.0.31

安全建议

以下任意一种方法均可实现漏洞修复

1、升级至安全版本

2、关闭AJP连接器，修改Tomcat的service.xml，注释掉 <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />。或者禁止Tomcat 的 AJP端口对公网开放。

3、针对阿里云用户，可使用安全组临时禁止AJP服务端口（常见为8009端口）对外，阻止漏洞攻击，类似如下：

相关链接

http://tomcat.apache.org/security.html

https://www.cnvd.org.cn/flaw/show/CNVD-2020-10487

云盾云安全中心应急漏洞模块已支持对该漏洞一键检测

云盾云防火墙已可防御此漏洞攻击

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中心

2020.02.20