这篇文章上次修改于 1379 天前，可能其部分内容已经发生变化，如有疑问可询问作者。

1. 漏洞描述

        Apache与Tomcat都是Apache开源组织开发的用于处理HTTP服务的项目，两者都是免费的，都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件或源代码等。

2. 漏洞危害等级

高危

3. 影响版本

该文件包含漏洞影响以下版本：

7.* 分支7.0.100之前版本，建议更新到7.0.100版本；

8.* 分支8.5.51之前版本，建议更新到8.5.51版本；

9.* 分支9.0.31之前版本，建议更新到9.0.31版本。

4. 检测POC

CNVD-2020-10487.zip

5. 解决方案

1、临时禁用AJP协议端口，在conf/server.xml配置文件中注释掉<Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />

2、配置ajp配置中的secretRequired跟secret属性来限制认证

3、官方下载最新版下载地址：

https://tomcat.apache.org/download-70.cgi

https://tomcat.apache.org/download-80.cgi

https://tomcat.apache.org/download-90.cgi

或Github下载：https://github.com/apache/tomcat/releases