拓波邮件系统关于“Apache Tomcat最新漏洞”的安全加固说明

漏洞说明

据国家网络与信息安全信息通报中心监测发现，Apache Tomcat存在文件包含高危漏洞（CVE-2020-1938，对应CNVD-2020-10487）。

Tomcat是Apache软件基金会Jakarta项目中的一个核心项目，Java开发人员应用较多，并得到部分软件开发商认可。Tomcat服务器是一款免费的开源Web应用服务器，被普遍使用在轻量级Web应用服务的构架中。

经分析研判，Tomcat AJP协议存在文件包含漏洞，攻击者可利用该漏洞通过构造特定参数的方式，读取服务器webapp目录下任意文件。若服务器同时具备文件上传功 能，攻击者可进一步上传恶意文件实现远程代码执行，最终获取服务器控制权。目前，Tomcat 6、7、8、9系列多个版本均受此漏洞影响。

拓波邮件系统的安全说明

拓波软件研发部通过排查核实，此漏洞并未对拓波软件旗下产品：TurboMail邮件系统、TurboEx邮件协同系统、TurboGate邮件网关造成影响，出于安全考虑也防患于未然，我们建议广大客户关闭AJP协议方案进行漏洞修补，或将AJPConnector调整为只对localhost开放，具体操作如下所示：

1、注释掉<CATALINA_BASE>/conf/server.xml文件中以下片段：
将原有的

<connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

<!--<connector port="8009" protocol="AJP/1.3" redirectPort="8443" />-->

2、修改<CATALINA_BASE>conf/server.xml，在配置中增加ip绑定：
将原有的

<connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

<connector address="127.0.0.1" port="8009" protocol="AJP/1.3" redirectPort="8443" />

最后重启web服务生效。

如您需要了解更多的技术细节，请联系拓波软件客服中心进行直接沟通。