CVE-2020-1938 Tomcat文件包含漏洞预警
重要性: 高

【漏洞描述】
Tomcat是一个免费的开放源代码的Web应用服务器。近日安全研究员发现Tomcat AJP协议存在缺陷从而导致攻击者可利用该漏洞构造特定参数,读取服务器webapp目录下的任意文件。风险等级高,影响范围广。
【严重程度】
高危
【影响范围】
• Apache Tomcat 6.x
• Apache Tomcat 7.x < 7.0.100
• Apache Tomcat 8.x < 8.5.51
• Apache Tomcat 9.x < 9.0.31
【修复方法】
托管科技的默认是没有开启AJP的,所以无需修复,自营非托管的请尽快自查并修复漏洞
修复方案一:
Tomcat 官方已发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。
修复方案二(重启后生效):
如当前Tomcat无法升级可采用如下缓解方案:

   打开Tomcat配置文件server.xml(一般位于conf目录下),注释掉如下行:
   <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />