近日國家信息安全漏洞共享平臺發(fā)布安全公告，Apache tomcat爆出Ghostcat高危文件讀取/包含漏洞。

Tomcat是由Apache軟件基金會屬下Jakarta項(xiàng)目開發(fā)的Servlet容器，按照Sun Microsystems提供的技術(shù)規(guī)范，實(shí)現(xiàn)了對Servlet和JavaServer Page（JSP）的支持。

由于Tomcat本身也內(nèi)含了HTTP服務(wù)器，因此也可以視作單獨(dú)的Web服務(wù)器。

CNVD-2020-10487/CVE-2020-1938是文件包含漏洞，攻擊者可利用該漏洞讀取或包含 Tomcat 上所有 webapp 目錄下的任意文件，如：webapp 配置文件、源代碼等。

修復(fù)建議針對Apache AJP 協(xié)議 CVE-2020-1938 漏洞的修復(fù)方法

1、關(guān)閉AJP協(xié)議。

2、升級tomcat。