tomcat漏洞的问题

tomcat漏洞的问题
对于非容器化部署的项目，建议直接关闭ajp协议的方式处理
对于容器化部署的，直接升级版本
研发口这边我已经通知了
2月20日，国家信息安全漏洞共享平台（CNVD）发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告，绿盟安全评估系统也同步向我们推送了有关该安全漏洞的预警通知。
    公告中表示，存在于Apache Tomcat中的文件包含漏洞（CNVD-2020-10487，对应CVE-2020-1938）可使攻击者在未授权的情况下远程读取特定目录下的任意文件。该漏洞源于Tomcat AJP协议实现中的缺陷，使得相关参数可控。通过向AJP协议端口（默认8009）发送精心构造的数据，可读取服务器webapp目录下的任意文件，比如配置文件、源代码等。而且如果服务器端同时开放了文件上传功能，那么还可能进一步实现远程代码的执行。
    由于该漏洞影响范围大且潜在危险性高，经过仔细的分析预案和实际项目验证和准备，现要求各单位及时排查，并及时沟通相关情况。
关于修复方式：
      针对此Tomcat的文件包含漏洞，同时综合多方面给出的修复建议，现统一推荐如下的2类修复方案（按照Tomcat的宿主形态划分）：
  方案一：当Apache Tomcat部署在物理服务器、虚拟机以及LXC容器中时，采取直接修改AJP Connector配置参数的方案。
  若系统不需要使用Tomcat的AJP协议，具体操作如下：
1） 编辑/conf/server.xml，找到如下行：

2） 将此行注释掉：

3） 保存修改后需要重新启动Tomcat。
   
  若系统需要使用AJP协议，具体操作如下：
1） 使用Tomcat 7和Tomcat 9的可以为AJP Connector配置secret来设置AJP协议的认证凭证（注意要将YOUR_TOMCAT_AJP_SECRET设置为一个安全性高、无法被轻易猜解的值）：

2） 使用Tomcat 8的可以为AJP Connector配置require Secret来设置AJP协议的认证凭证（注意要将YOUR_TOMCAT_AJP_SECRET设置为一个安全性高、无法被轻易猜解的值）：

3） 保存修改后需要重新启动Tomcat。
 
方案二：当Apache Tomcat部署在Docker容器中时，采取在Docker镜像中升级Tomcat版本的方案，由各产品研发基线化到版本中去。
Tomcat版本升级要求如下：
Tomcat 7系列统一升级到7.0.100
Tomcat 8系列统一升级到8.5.51
Tomcat 9系列统一升级到9.0.31