Tomcat存在文件包含漏洞的说明

一、漏洞概述

攻击者可以利用该漏洞，在未授权的情况下远程读取特定目录下的任意文件。如：webapp 配置文件或源代码等。

二、解决方案

先查看是否使用了omcat AJP 协议

1. 未使用 Tomcat AJP 协议

如果未使用 Tomcat AJP 协议，可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。
如果无法立即进行版本更新，或者是更老版本的用户，建议直接关闭 AJPConnector，或将其监听地址改为仅监听本机 localhost。
具体操作：
1）编辑<CATALINA_BASE>/conf/server.xml，找到如下行（<CATALINA_BASE> 为 Tomcat 的工作目录）：

<Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />

2）将此行注释掉（也可删掉该行）：

<!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->

3）保存后需重新启动，规则方可生效。

2.使用了 Tomcat AJP 协议

（1） 方案一
建议将 Tomcat 立即升级到 9.0.31、8.5.51 或 7.0.100 版本进行修复，同时为 AJP Connector 配置 secret 来设置 AJP 协议的认证凭证。例如（注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值）

<Connector port="8009"protocol="AJP/1.3" 
redirectPort="8443"
address="YOUR_TOMCAT_IP_ADDRESS" 
secret="YOUR_TOMCAT_AJP_SECRET"/>

（2）方案二
如果无法立即进行版本更新、或者是更老版本的用户，建议为 AJPConnector 配置 requiredSecret 来设置 AJP 协议认证凭证。例如（注意必须将 YOUR_TOMCAT_AJP_SECRET 更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol="AJP/1.3" 
redirectPort="8443"
address="YOUR_TOMCAT_IP_ADDRESS"
requiredSecret="YOUR_TOMCAT_AJP_SECRET" />