本篇內容主要講解“Tomcat漏洞怎么解決”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“Tomcat漏洞怎么解決”吧!

成都創(chuàng)新互聯公司專注于稱多企業(yè)網站建設,響應式網站建設,購物商城網站建設。稱多網站建設公司,為稱多等地區(qū)提供建站服務。全流程按需網站制作，專業(yè)設計，全程項目跟蹤，成都創(chuàng)新互聯公司專業(yè)和態(tài)度為您提供的服務

1.Tomcat漏洞介紹

使用 Apache Tomcat 軟件了 Java Servlet，JavaServer 頁，Java 表達式語言和 Java 的 WebSocket 技術的一個開源實現。Java Servlet，JavaServer Pages，Java Expression Language和Java WebSocket規(guī)范是在Java Community Process下開發(fā)的 。

阿粉相信大家現在用什么版本的多有，從7.0到目前最新的10.0的用什么版本的都有，但是現在，Tomcat出現了重大的漏洞。而此次的漏洞涉及到的版本也是挺多的。

影響的版本有：

• Apache Tomcat 9.x < 9.0.31

• Apache Tomcat 8.x < 8.5.51

• Apache Tomcat 7.x < 7.0.100

• Apache Tomcat 6.x

也就是說此次受影響的版本包括：Tomcat 6，Tomcat 7的7.0.100以下版本，Tomcat 8的8.5.51以下版本，Tomcat 9的9.0.31以下版本。而阿粉線上的版本確實8.5.24，也在漏洞范圍之內。

2020年1月6日，國家信息安全漏洞共享平臺（CNVD）收錄了由北京長亭科技有限公司發(fā)現并報送的Apache Tomcat文件包含漏洞（CNVD-2020-10487，對應CVE-2020-1938）。攻擊者利用該漏洞，可在未授權的情況下遠程讀取特定目錄下的任意文件。而 CNVD 也將此次漏洞定義為高危漏洞。

2.漏洞情況分析

從 CNVD 接收到長亭公司報送的Apache Tomcat文件包含漏洞開始，就開始了一輪的檢測，經檢測，Tomcat AJP協議由于存在實現缺陷導致相關參數可控，不得不說，這次漏洞攻擊者利用該漏洞可通過構造特定參數，讀取服務器webapp下的任意文件。若服務器端同時存在文件上傳功能，攻擊者可進一步實現遠程代碼的執(zhí)行。

webapp 文件夾，相信大家是非常的熟悉，很多線上項目都是直接把自己本身的項目 War 包發(fā)布到 webapps 目錄下，這樣也就導致了大家的源碼，如果有黑客把這個作為漏洞進行攻擊的話，那么一定會獲取到你們的項目源碼，再通過一定的手段進行反編譯，那么項目的內容將沒有任何秘密可言了，想想多么可怕。

而他是通過什么來獲取的，據悉，該漏洞被追蹤為CVE-2020-1938，位于Apache Tomcat軟件的AJP協議中，允許未經身份驗證的黑客遠程訪問服務器上部署的應用程序和源代碼文件。

既然漏洞是位于 AJP 協議中，那么我們首先得了解一下什么是 AJP 協議。

AJP協議

AJP（Apache JServ Protocol）是定向包協議。因為性能原因，使用二進制格式來傳輸可讀性文本。WEB服務器通過 TCP連接 和 SERVLET容器連接。這是百度百科，也就是官方的解釋，那么在 Tomcat 中 AJP 協議又是在哪些地方上呢？

阿粉相信大家都改過 Tomcat 的端口號吧，比如8080 改成 8088，然后8009改成 8099 這種的，但是大家有沒有仔細的去看 server.xml 文件里面的注釋呢？

上面的這幅圖，很明顯這是基于 HTTP 1.1 的 Connector 而這個 Connector 簡單來說就是一個連接器，有了這個，Tomcat 才能成為一個 web 服務器，但還額外可處理Servlet和jsp。

那么在看下面這幅圖，注意看注釋呦！

Define an AJP 1.3 Connector on port 8009 這一句話直譯的意思就是在端口8009上定義AJP 1.3連接器，也就是說這端口是基于 AJP 協議的，但是很多人都知道 HTTP 協議，是因為 8080 端口的存在，而基于 AJP 協議的 AJP1.3 的 Connector ，它使用的是 AJP 協議，使用二進制格式來傳輸可讀性文本的協議。

如果大家真的對 AJP 協議真的感興趣的話，那么大家可以去 Tomcat 的官網上去看一下 【https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html】，這個官方文檔里面寫明了 AJP 協議的設計目標，概述，還有關于一些請求的內容等等。

3.有了漏洞我們應該怎么處理呢？

1. 一個最簡單的辦法，更換 Tomcat 的版本,也就是說你沒有使用 AJP 協議的 Tomcat 的話，可以直接將 Tomcat 升級到 9.0.31、8.5.51或 7.0.100 版本進行漏洞修復。

如無法立即進行版本更新、或者是更老版本的用戶，建議直接關閉AJPConnector，或將其監(jiān)聽地址改為僅監(jiān)聽本機localhost。

具體操作：

• 編輯 tomcat目錄下的/conf/server.xml，找到如下行：

直接把這一行注釋掉就OK了，保存后需重新啟動，規(guī)則方可生效。

2. 如果使用了Tomcat AJP協議：建議將Tomcat立即升級到9.0.31、8.5.51或7.0.100版本進行修復，同時為AJP Connector配置secret來設置AJP協議的認證憑證。例如（注意必須將YOUR_TOMCAT_AJP_SECRET更改為一個安全性高、無法被輕易猜解的值）：

如無法立即進行版本更新、或者是更老版本的用戶，建議為 AJP Connector 配置 requiredSecret 來設置AJP協議認證憑證。

到此，相信大家對“Tomcat漏洞怎么解決”有了更深的了解，不妨來實際操作一番吧！這里是創(chuàng)新互聯網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續(xù)學習！