【风险提示】关于Apache Tomcat存在文件包含漏洞 的安全公告

Tomcat 是Apache软件基金会Jakarta 项目中的一个核心项目，作为目前比较流行的Web应用服务器，深受Java爱好者的喜爱，并得到了部分软件开发商的认可。Tomcat服务器是一个免费的开放源代码的Web应用服务器，被普遍使用在轻量级Web应用服务的构架中。

近日，互联网曝光Apache Tomcat服务器中被发现存在文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件。该漏洞危害程度为严 重 (critical) 。目前，Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复，建议用户尽快升级到安全版本。

二、影响范围

受影响版本：

Tomcat 6

Tomcat 7

Tomcat 8

Tomcat 9

三、漏洞原理

该漏洞是一个单独的文件包含漏洞，该漏洞依赖于Tomcat的AJP（定向包协议）协议。Tomcat AJP协议由于存在实现缺陷导致相关参数可控，攻击者利用该漏洞可通过构造特定参数，读取服务器webapp下的任意文件。若服务器端同时存在文件上传功能，攻击者可进一步实现远程代码的执行。

六、修复建议

目前，Apache官方已发布9.0.31、8.5.51及7.0.100版本对此漏洞进行修复，建议用户尽快升级到安全版本。

附： 参考链接：

https://tomcat.apache.org/connectors-doc/ajp/ajpv13a.html