如果您的web服务器运行在Apache Tomcat上，则应该立即安装最新可用的服务器应用程序版本，以防止黑客对其进行未经授权的控制。因为Apache Tomcat在过去13年发布的所有版本(9.x/8.x/7.x/6.x)都容易受到新的高严重性(CVSS 9.8)的攻击。“文件读取和包含错误”——可以在默认配置中使用。

但更令人担忧的是，针对这个漏洞的几个概念验证漏洞也出现在互联网上，因此任何人都可以轻松地入侵可公开访问的易受攻击的Web服务器。

该漏洞被称为“ Ghostcat ”，并被跟踪为CVE-2020-1938，该漏洞可能使未经身份验证的远程攻击者读取易受攻击的Web服务器上任何文件的内容并获取敏感的配置文件或源代码，或者在服务器允许文件执行时执行任意代码上传。

什么是Ghostcat缺陷及其工作原理？

据称，该漏洞位于Apache Tomcat软件的AJP协议中，该协议是由于对属性的不正确处理引起的。

研究人员说，如果站点允许用户上传文件，则攻击者可以先将包含恶意JSP脚本代码的文件上传到服务器（上传的文件本身可以是任何文件类型，例如图片，纯文本文件等），然后包括通过利用Ghostcat上传文件，最终可以导致远程执行代码。

Apache JServ协议（AJP）协议基本上是HTTP协议的优化版本，以允许Tomcat与Apache Web服务器进行通信。

尽管AJP协议默认情况下处于启用状态，并且侦听TCP端口8009，但它已绑定到IP地址0.0.0.0，并且只有在不受信任的客户端可以访问时才能被远程利用。

根据开源和网络威胁情报数据搜索引擎“ onyphe”的说法，在撰写本文时，有超过170,000台设备正在通过Internet向所有人公开AJP连接器。

Apache Tomcat漏洞：修补程序和缓解措施

研究人员上个月发现了此漏洞并将其报告给Apache Tomcat项目，该项目现已发布了Apache Tomcat 9.0.31、8.5.51和7.0.100版本以解决此问题。

最新版本还修复了其他2个低严重度HTTP请求（CVE-2020-1935和CVE-2019-17569）问题。

强烈建议Web管理员尽快应用软件更新，并且建议不要将AJP端口公开给不受信任的客户端，因为它通过不安全的通道进行通信并且打算在受信任的网络中使用。

Tomcat团队说,，用户应该注意，9.0.31中对默认的AJP连接器配置进行了大量更改，以加强默认配置。因此，升级到9.0.31或更高版本的用户可能需要对其配置做一些小的更改。

但是，如果由于某种原因而不能立即升级受影响的Web服务器，则还可以直接禁用AJP连接器，或将其侦听地址更改为localhost。