SpringBoot2 对应 Tomcat 的 AJP 漏洞

背景

2020年1月6日，国家信息安全漏洞共享平台（CNVD）收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞（CNVD-2020-10487，对应CVE-2020-1938）。攻击者利用该漏洞，可在未授权的情况下远程读取特定目录下的任意文件。目前，漏洞细节尚未公开，厂商已发布新版本完成漏洞修复。

具体公告：https://www.cnvd.org.cn/webin...

springboot对应方法

如果使用的是外置tomcat，参考公告中的对应方法即可。

如果使用的是springboot的内置tomcat，且手动开启了AJP协议，则需要升级内置tomcat版本。

如果你的springboot(使用默认内置tomcat)并没有手动开启AJP，那么你可以不升级tomcat内置版本。当然你想升级也可以。

springboot开启AJP方法

springboot默认不启用AJP，如果需要开启，则需要手动配置，以springboot2为例：

@Bean
    public WebServerFactoryCustomizer servletContainer() {
      return server -> {
        if (server instanceof TomcatServletWebServerFactory) {
            ((TomcatServletWebServerFactory) server).addAdditionalTomcatConnectors(redirectConnector());
        }
      };
    }

    private Connector redirectConnector() {
       Connector connector = new Connector("AJP/1.3");
       connector.setScheme("http");
       connector.setPort(ajpPort);
       connector.setSecure(false);
       connector.setAllowTrace(false);
       return connector;
    }

开启了AJP的springboot如何升级内置tomcat版本

如果你的springboot项目开启了AJP，那么你需要升级内置tomcat版本到公告中指明的版本或以上。
示例：

 
      org.springframework.boot
      spring-boot-starter-web
      
        
          tomcat-embed-core
          org.apache.tomcat.embed
        
        
          tomcat-embed-el
          org.apache.tomcat.embed
        
        
          tomcat-embed-websocket
          org.apache.tomcat.embed
        
      
    
    
      org.apache.tomcat.embed
      tomcat-embed-core
      9.0.31
    
    
      org.apache.tomcat.embed
      tomcat-embed-el
      9.0.31
    
    
      org.apache.tomcat.embed
      tomcat-embed-websocket
      9.0.31
      
        
          tomcat-embed-core
          org.apache.tomcat.embed
        
      
    

这里列出了tomcat-embed-core，tomcat-embed-el和tomcat-embed-websocket这三个依赖包，实际上应该根据你的具体项目中的依赖来升级版本