Apache Tomcat 文件包含漏洞（CVE-2020-1938）分析及检测

前言

        CNVD2月20日发出公告关注到此漏洞，此漏洞由长亭科技1月3号向Apache Tomacat官网提交漏洞，于是我对公司进行逐一排查，发现公司tomacat版本是有漏洞的。

漏洞概述：

        Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，其安装后会默认开启ajp连接器，方便与其他web服务器通过ajp协议进行交互。属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP 程序的首选。对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache 服务器，可利用它响应HTML（标准通用标记语言下的一个应用）页面的访问请求。实际上Tomcat是Apache 服务器的扩展，但运行时它是独立运行的，所以当你运行tomcat 时，它实际上作为一个与Apache 独立的进程单独运行的。

诀窍是，当配置正确时，Apache 为HTML页面服务，而Tomcat 实际上运行JSP 页面和Servlet。另外，Tomcat和IIS等Web服务器一样，具有处理HTML页面的功能，另外它还是一个Servlet和JSP容器，独立的Servlet容器是Tomcat的默认模式。不过，Tomcat处理静态HTML的能力不如Apache服务器。目前Tomcat最新版本为9.0.31。昨日由cnnvd公布其一文件包含漏洞，该漏洞可导致tomcat上webapps配置文件，源代码等内容被读取。

漏洞原理：

        Tomacat在处理请求时，都会尝试从名为javax.serlet.include.servlet_path的Request attribute中取值。其中DefaultServlet会将其作为要请求的静态资源文件的文件路径。而JspServlet则会将其作为要请求的JSP文件的文件路径。因为该属性可控，我们就可以通过DefaultServlet读取webapp目录下的任意文件。

影响版本：

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

漏洞等级：

高危  参考CNVD https://www.cnvd.org.cn/webinfo/show/5415

漏洞检测：

直接先用nmap查看使用tomacat    -A 或 -O

这里我已经知道使用tomacat，直接看是否开放8009端口，8009端口对应的是AJP协议。

网上很多poc可以检测，我这里使用的是长亭的xray

存在漏洞的。

如果确认漏洞呢》

漏洞修复：

1.更新版本：

目前不受影响版本：

Apache Tomcat = 7.0.100、Apache Tomcat = 8.5.51、Apache Tomcat = 9.0.31

版本号 下载地址：

apache tomcat 8.5.51       http://tomcat.apache.org/download-80.cgi

apache tomcat 9.0.31       http://tomcat.apache.org/download-90.cgi

apache tomcat 7.0.100    http://tomcat.apache.org/download-70.cgi

2.如果没使用 AJP Connector

可在配置文件中注释 那一段。当然更新版本最好。