CNVD曝出Tomcat服务器文件包含漏洞

近日，国家信息安全漏洞共享平台发布了Apache Tomcat上的文件包含漏洞。通知中表示攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件，如：webapp配置文件或源代码等。而且该漏洞是于2020年1月6日报送，距今已有一个半月的时间。

2020年2月20日下午17：30，CNVD发布漏洞公告：https://www.cnvd.org.cn/webinfo/show/5415

影响版本

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

Tomcat是Apache软件基金会的Jakarta项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开发而成，目前在全球范围内被广泛利用。

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有450820个AJP协议对外开放。中国大陆使用数量最多，共有210906个，美国第二，共有93130个，韩国第三，共有15829个，中国香港第四，共有13301个，德国第五，共有12731个。

中国大陆地区浙江省使用数量最多，共有92742个，北京市第二，共有53320个，广东省第三，共有11295个，江苏省第四，共有6897个，山东省第五，共有5362个。

根据Tomcat官网的数据，版本更新时间在2020年之后的共有Tomcat 7.0.100（2020-02-14），Tomcat 9.0.31（2020-02-11），Tomcat 8.5.51（2020-02-11）。

在最新的Tomcat版本（7.0.1，9.0.31，8.5.51）中，官方直接把Service.xml文件中的漏洞语句<Connector port="8009" redirectPort="8443" protocol="AJP/1.3"/ >进行了注释，所以不存在漏洞。而非最新版本的Tomcat则没有注释这句话，以下用最新版本8.5.51进行举例。

8.5.51之前的版本：

8.5.51版本：

各个Tomcat管理员也可以通过此手段检测和修复所管理的应用。

在2020年2月21日晚，外网上陆续有研究人员公开了PoC检测代码：

1.https://github.com/threedr3am/learnjavabug/blob/1f601a919605704e8e67b89213f233b82fa537c7/tomcat/ajp-bug/src/main/java/com/threedr3am/bug/tomcat/ajp/FileRead.java

2.https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi/blob/8bd38f4cf22331ecf4e48096a78c5931509c26be/CNVD-2020-10487-Tomcat-Ajp-lfi.py

漏洞编号

CVE-2020-1938
CNVD-2020-10487

漏洞PoC

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务