Apache Tomcat 文件读取包含漏洞（CVE-2020-1938）

一、概要

近日，华为云关注到Apache Tomcat存在文件读取包含漏洞（CVE-2020-1938）。Apache Tomcat是Apache软件基金会Jakarta 项目中的一个核心项目，Tomcat 默认开启的AJP服务(8009端口)存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。

华为云提醒使用Apache Tomcat的用户及时安排自检并做好安全加固。

参考链接：

https://www.cnvd.org.cn/webinfo/show/5415

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x 

安全版本:

Apache Tomcat 9.0.31

Apache Tomcat 8.5.51

Apache Tomcat 7.0.100

四、漏洞处置

可采取以下任意一种方法：

1、升级版本：目前官方已在最新版本中修复了该漏洞，请受影响的用户升级至安全版本。

2、关闭AJP服务：注释掉 Tomcat 配置文件 Service.xml中的<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />。

注：修复漏洞前请将资料备份，并进行充分测试。