关于对Apache Tomcat 文件包含高危漏洞 开展安全加固的预警通报

据国家网络与信息安全信息通报中心监测发现，Apache Tomcat存在文件包含高危漏洞（CVE-2020-1938，对应CNVD-2020-10487）。Tomcat是Apache软件基金会Jakarta项目中的一个核心项目，Java开发人员应用较多，并得到部分软件开发商认可。Tomcat服务器是一款免费的开源Web应用服务器，被普遍使用在轻量级Web应用服务的构架中。经分析研判，Tomcat AJP协议存在文件包含漏洞，攻击者可利用该漏洞通过构造特定参数的方式，读取服务器webapp目录下任意文件。若服务器同时具备文件上传功能，攻击者可进一步上传恶意文件实现远程代码执行，最终获取服务器控制权。目前，Tomcat 6、7、8、9系列多个版本均受此漏洞影响。

鉴于该漏洞影响范围大，潜在危害程度高，建议采取以下修复措施：一是尽快将Tomcat升级至最新版本（https://tomcat.apache.org/.*系列7.0.100之前版本建议升级到7.0.100版本，8.*系列8.5.51之前版本建议升级到8.5.51版本，9.*系列9.0.31之前版本建议升级到9.0.31版本。二是修改Tomcat配置文件，禁用AJP服务端口。三是设置防火墙等安全防护设备端口访问策略，限制AJP服务端口访问权限。各单位要及时警示本部门、本行业、本辖区网站和系统用户，在确保安全的前提下及时堵塞漏洞，消除安全隐患，提高安全防范能力，发现系统遭攻击情况后及时处置并报告。

tomcat安全漏洞预防

为了进一步加强公司实施、运维项目安全性，现对公司所有项目使用的tomcat做以下安全配置修改要求：

一、已部署及实施的项目解决办法

1.隐藏tomcat版本号

说明：目前安全检查工具检测tomcat漏洞的原理首先是先获取tomcat版本号，所以屏蔽版本号可以规避大部分漏洞。

解决：tomcat版本信息由一个jar包控制，该jar包存放在 Tomcat 安装目录下的lib目录，名称为 catalina.jar。打开后修改 org/apache/catalina/util/ServerInfo.properties 文件中的对应字段来屏蔽版本信息。

示例：

原始信息如下：

server.info=Apache Tomcat/7.0.65

server.number=7.0.65.0

server.built=Oct 9 2015 08:36:58 UTC

修改后信息如下：

server.info=no

server.number=no

server.built=no

2.管理AJP端口

说明：AJP协议存在文件包含漏洞，攻击者可利用该漏洞通过构造特定参数的方式，读取服务器webapp目录下任意文件

解决：在tomcat目录下，打开/conf/server.xml文件，注释掉以下内容：

3.禁用Tomcat管理页面

说明：为了防止黑客通过tomcat管理界面对tomcat进行攻击，例如使用默认密码等控制管理页面，攻击服务器，所以默认我们需要把禁用tomcat管理页面

解决：删除webapps目录下默认的docs、examples、manager、ROOT、host-manager文件夹

二、后续新项目解决办法

使用公司统一提供的tomcat版本

说明：项目组从外网下载的tomcat版本有可能存在木马病毒或者未做安全配置，为了确保项目实施及运维的稳定性，建议采用公司统一的tomcat版本

解决：公司内网下载tomcat地址如下

1）Windows版tomcat下载地址：（包含tomcat7、8、9三个版本）

http://tools.********.com.cn/开发工具/********/开发必备/windows/tomcat/

2）linux版tomcat下载地址：（包含tomcat7、8、9三个版本）

http://tools.********.com.cn/开发工具/********/开发必备/linux/tomcat/