尊敬的标准互联用户，您好！

近日，标准互联监测到，知名轻量级Web应用服务器 Apache Tomcat 被爆存在文件包含漏洞，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响 Apache Tomcat 服务器上的 Web 目录文件。

为避免您的业务受影响，标准互联建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Apache Tomcat 是一个免费的开源 Web 应用服务器，在中小型企业和个人开发用户中有着广泛的应用。

由于 Tomcat 默认开启的 AJP 服务（8009端口）存在一处文件包含缺陷，攻击者可构造恶意的请求包进行文件包含操作，进而读取受影响 Tomcat 服务器上的 Web 目录文件。

风险等级

高风险

漏洞风险

攻击者可在受影响的 Apache Tomcat 服务器上非法读取Web目录文件

影响版本

Apache Tomcat 6

Apache Tomcat 7 < 7.0.100

Apache Tomcat 8 < 8.5.51

Apache Tomcat 9 < 9.0.31

安全版本

Apache Tomcat 7.0.100

Apache Tomcat 8.5.51

Apache Tomcat 9.0.31

修复建议

目前官方均已发布新版本修复漏洞，标准互联建议您：

1）更新更安全版本；

2）关闭 AJP 服务：打开 Tomcat 配置文件 Service.xml，注释掉如下行：

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

漏洞参考

1）Tomcat 官网：tomcat.apache.org

2）CNVD 公告：www.cnvd.org.cn/flaw/show/CNVD-2020-10487