一、漏洞情況描述
2020年1月6日，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）收錄了由北京長(zhǎng)亭科技有限公司發(fā)現(xiàn)并報(bào)送的Apache Tomcat文件包含漏洞：Tomcat AJP協(xié)議由于存在實(shí)現(xiàn)缺陷導(dǎo)致相關(guān)參數(shù)可控，攻擊者利用該漏洞可通過(guò)構(gòu)造特定參數(shù)，讀取服務(wù)器webapp下的任意文件。若服務(wù)器端同時(shí)存在文件上傳功能，攻擊者可進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼的執(zhí)行。

二、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括：
Tomcat 6、Tomcat 7、Tomcat 8、Tomcat 9

三、漏洞處置方法
目前Apache官方已發(fā)布9.0.31、8.5.51及7.0.100版本（Tomcat 6.x版本已停止維護(hù)），可直接將 Tomcat 升級(jí)到 9.0.31、8.5.51或 7.0.100 版本進(jìn)行漏洞修復(fù)。
另外網(wǎng)站群產(chǎn)品，默認(rèn)未使用Tomcat AJP協(xié)議，生產(chǎn)環(huán)境，可以直接關(guān)閉AJPConnector，具體操作如下：
（1）編輯 tomcat/conf/server.xml，找到如下行并刪除：
<Connector port=8009protocol=AJP/1.3 redirectPort=8443 />
（2）將此行注釋掉（也可刪掉該行）：
<!--<Connector port=8009 protocol=AJP/1.3redirectPort=8443 />-->
（3）文件保存后需重新啟動(dòng)Tomcat，配置生效；
（4）檢查8009端口是否已經(jīng)停止：

Linux：
# 執(zhí)行執(zhí)行以下命令，有返回則說(shuō)明8009啟用了，沒(méi)有則沒(méi)有開(kāi)啟
netstat -lnt | grep 8009

Windows：
# cmd執(zhí)行，如果有返回則表示8009端口開(kāi)啟了，沒(méi)有返回則沒(méi)有開(kāi)啟
netstat -ano|find 8009|find LISTENING