【Tomcat】Tomcat-Ajp漏洞测试与修复

Tomcat漏洞详情

Tomcat默认开启AJP连接器，方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器，因此也可以视作单独的Web服务器。

国家信息安全漏洞共享平台于2020年2月22日发布了一份关于Apache Tomcat存在文件包含漏洞的安全报告。该漏洞综合评级为“高危”，影响的产品版本包括：Tomcat6、Tomcat7、Tomcat8、Tomcat9。报告中提到Tomcat AJP协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件，若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。

此漏洞为文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件、源代码等。

修复方案

1. 临时禁用AJP协议端口

[root@host1 ~]# vim conf/server.xml
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

将此行注释(也可删掉改行)
<!--<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />-->

保存后需重新启动，规则方可生效。

2. 配置ajp配置中的secretRequired跟secret属性来限制认证

[root@host1 ~]# vim conf/server.xml
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值(自行填写)
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" address="YOUR_TOMCAT_IP_ADDRESS" requiredSecret="YOUR_TOMCAT_AJP_SECRET">

3. 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复

官网修复漏洞版本7.0.100
https://tomcat.apache.org/download-70.cgi
官网修复漏洞版本8.5.51
https://tomcat.apache.org/download-80.cgi
官网修复漏洞版本9.0.31
https://tomcat.apache.org/download-90.cgi