近日发现ApacheTomcat文件包含漏洞(CNVD -2020- 10487)。攻击者利用该漏洞,可在未授权的情况下远程读取特定目录下的任意文件。漏洞影响的产品版本包括Tomcat 6、Tomcat 7、Tomcat8和Tomcat 9.
目前,Apache官方已发布9.0.31. 8.5.51及7.0.100版本对此漏洞进行修复,建议用户尽快升级新版本或采取临时缓解措施:一是如未使用Tomcat AJP协议,可以直接将Tomcat升级到 9.0.31.8.5.51或7.0.100版本进行漏洞修复。二是如无法立即进行版本更新、或者是更老版本的用户,建议直接关闭AJPConnector,或将其监听地址改为仅监听本机localhost.详情请查看附件1.