一、概要

近日，華為云關(guān)注到Apache Tomcat存在文件讀取包含漏洞（CVE-2020-1938）。Apache Tomcat是Apache軟件基金會Jakarta 項目中的一個核心項目，Tomcat 默認開啟的AJP服務(wù)(8009端口)存在實現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控，攻擊者利用該漏洞可通過構(gòu)造特定參數(shù)，讀取服務(wù)器webapp下的任意文件。若服務(wù)器端同時存在文件上傳功能，攻擊者可進一步實現(xiàn)遠程代碼的執(zhí)行。

華為云提醒使用Apache Tomcat的用戶及時安排自檢并做好安全加固。

參考鏈接：

https://www.cnvd.org.cn/webinfo/show/5415

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急） 

三、漏洞影響范圍

影響版本：

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x 

安全版本:

Apache Tomcat 9.0.31

Apache Tomcat 8.5.51

Apache Tomcat 7.0.100

四、漏洞處置

可采取以下任意一種方法：

1、升級版本：目前官方已在最新版本中修復(fù)了該漏洞，請受影響的用戶升級至安全版本。

2、關(guān)閉AJP服務(wù)：注釋掉 Tomcat 配置文件 Service.xml中的<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />。

注：修復(fù)漏洞前請將資料備份，并進行充分測試。