漏洞基本情况录播tomcatajp信息.pdfVIP

一、（）基本情况

（）类型：文件包含

IP:218.64.59.23

二、（）情况

2020年1月6日，息安全共享平台（CNV

D）收录了由长亭科技发现并报送的ApacheT

omcat文件包含（CNVD-2020-10487，对应CVE-2020-1

938）。者利用该，可在未的情况下

特定下的任意文件。目前，细节尚未公开，厂商

已发布新版本完成修复。

详情详细情况见URL:

webinfo/show/5415

三、处理建议

目前，Apache已发布9.0.31、8.5.51及7.0.100

版本对此进行修复，建议用户尽快升级新版本或采取临

时缓解措施：

1.如未使用TomcatAJP协议：

如未使用TomcatAJP协议，可以直接将Tomcat升级

到9.0.31、8.5.51或7.0.100版本进行修复。

如无法立即进行版本更新、或者是更老版本的用户，建

议直接关闭AJPConnector，或将其地址改为仅本机

localhost。

具体操作：

（1）编辑CATALINA_BASE/conf/server.xml，找到如

下行（CATALINA_BASE为Tomcat的工作）：

Connectorport=8009protocol=AJP/1.3

redirectPort=8443/

（2）将此行注释掉（也可删掉该行）：

!--Connectorport=8009

protocol=AJP/1.3redirectPort=8443/--

（3）保存后需重新启动，规则方可生效。

2.如果使用了TomcatAJP协议：

建议将Tomcat立即升级到9.0.31、8.5.51或7.0.100

版本进行修复，同时为AJPConnector配置secret来设置

AJP协议的认证凭证。例如（注意必须将

YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易

猜解的值）：

Connectorport=8009protocol=AJP/1.3

redirectPort=8443address=YOUR_TOMCAT_IP_ADDRESS

secret=YOUR_TOMCAT_AJP_SECRET/

如无法立即进行版本更新、或者是更老版本的用户，建

议为AJPConnector配置requiredSecret来设置AJP协议认

证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为

一个安全性高、无法被轻易猜解的值）：

Connectorport=8009protocol=AJP/1.3

redirectPort=8443address=YOUR_TOMCAT_IP_ADDRESS

requiredSecret=YOUR_TOMCAT_AJP_SECRET/