更新时间:2022-06-11 10:36
漏洞背景
Tomcat在server.xml中配置有HTTP连接器和AJP连接器,AJP连接器可以通过AJP协议与另一个web容器进行交互。AJP协议是定向包协议,其使用端口为8009端口,为提高性能,AJP协议采用二进制形势代替文本形势。
在2020年2月20日,CNVD发布了漏洞公告。该漏洞是Tomcat AJP协议存在缺陷而导致,攻击者可以通过构造特定的参数,读取tomcat的webapps/ROOT目录下的任意文件。同时,若该服务器存在文件上传功能,攻击者还可以进一步实现远程代码执行。
漏洞影响范围
- Apache Tomcat6
- Apache Tomcat7 < 7.0.100
- Apache Tomcat8 < 8.5.51
- Apache Tomcat9 < 9.0.31
漏洞等级
高危
规则防护
云防火墙虚拟补丁已支持防护
规则类型
代码执行
修复建议
- 临时禁用AJP协议端口:在 conf/server.xml 配置文件中注释掉117行的 <Connector port="8009" protocol="AJP/1.3"redirectPort="8443" /> ,然后重启服务器
- 更新新版本