根据公告,Apache Tomcat存在的文件包含漏洞能导致配置文件或源码等敏感文件被读取,建议尽快升级到漏洞修复的版本或采取临时缓解措施加固系统。
Apache Tomcat历史安全公告请参考:
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
2. 影响范围
该文件包含漏洞影响以下版本:
7.*分支7.0.100之前版本,建议更新到7.0.100版本;
8.*分支8.5.51之前版本,建议更新到8.5.51版本;
9.*分支9.0.31之前版本,建议更新到9.0.31版本。
官方下载地址:
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi
或Github下载:
https://github.com/apache/tomcat/releases
通过安恒研究院SUMAP平台对全球部署了Apache Tomcat AJP协议的服务器进行统计,最新查询分布情况如下:
临时缓解措施:
临时禁用AJP协议端口,在conf/server.xml配置文件中注释掉<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />