如何看待Apache Tomcat被發(fā)現(xiàn)存有“文件包含漏洞”(CNVD-2020 -10487)？軟件中的漏洞是不可避免的！Tomcat這次的漏洞不是什么大問題。這只是數(shù)百個(gè)漏洞中的一個(gè)。此外，此漏洞

如何看待Apache Tomcat被發(fā)現(xiàn)存有“文件包含漏洞”(CNVD-2020 -10487)？

軟件中的漏洞是不可避免的

！Tomcat這次的漏洞不是什么大問題。這只是數(shù)百個(gè)漏洞中的一個(gè)。

此外，此漏洞是AJP漏洞，它是連接Tomcat的Apache httpd的內(nèi)部協(xié)議。事實(shí)上，現(xiàn)在很少使用。目前Tomcat主要有兩種使用方式：直接使用HTTP協(xié)議提供服務(wù)；前端使用nginx進(jìn)行負(fù)載均衡，后端Tomcat仍然使用HTTP。根本沒有地方放AJP，所以沒必要大驚小怪。

此漏洞的主要問題是：事實(shí)上，AJP協(xié)議是默認(rèn)啟用的。它在端口8009上監(jiān)視。雖然你從不使用它，但它總是開著的。所以，也許很多人甚至沒有注意到他們有AJP。

事實(shí)上，處理方法也非常簡單：如果不使用它，只需關(guān)閉它；如果要使用它，只需限制訪問IP。當(dāng)然，最終的解決方案是：升級(jí)Tomcat。

這是件小事。我不知道為什么這么多人關(guān)注它？！疫情之下都是閑著無聊嗎？！