1.AJP漏洞(CVE-2020-1938)

描述

Apache Tomcat会开启AJP连接器,方便与其他Web服务器通过AJP协议进行交互。由于Tomcat本身也内含了HTTP服务器，因此也可以视作单独的Web服务器。此漏洞为文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件、源代码等。

影响

Apache Tomcat = 6
7 <= Apache Tomcat <7.0.100
8 <= Apache Tomcat <8.5.51
9 <= Apache Tomcat <9.0.31

修复

• 禁用AJP协议
• 下载最新版本

2.Session持久化漏洞(CVE-2020-9484)

描述

2020年5月20日，Apache Tomcat官方发布通告，披露了一个通过持久化Session导致的反序列化代码执行漏洞（CVE-2020-9484）。攻击者可能通过构造恶意请求，造成反序列化代码执行漏洞。

影响

Apache Tomcat 10.x <= 10.0.0-M4
Apache Tomcat 9.x <= 9.0.34
Apache Tomcat 8.x <= 8.5.54
Apache Tomcat 7.x <= 7.0.103

修复

• 禁止开启Session持久化功能FileStore
• 升级Apache Tomcat至不受本次漏洞影响的版本