CNVD曝出Tomcat服务器文件包含漏洞

近日，国家信息安全漏洞共享平台发布了Apache Tomcat上的文件包含漏洞。通知中表示攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件，如：webapp配置文件或源代码等。而且该漏洞是于2020年1月6日报送，距今已有一个半月的时间。

2020年2月20日下午17：30，CNVD发布漏洞预报，全文如下（https://www.cnvd.org.cn/webinfo/show/5415）：

Tomcat是Apache软件基金会的Jakarta项目中的一个核心项目，由Apache、Sun和其他一些公司及个人共同开发而成，目前在全球范围内被广泛利用。

根据目前FOFA系统最新数据（一年内数据），显示全球范围内共有2812352个Tomcat服务对外开放。中国使用数量最多，共有1015990个，美国第二，共有645451个，巴西第三，共有108635个，德国第四，共有99789个，韩国第五，共有91441个。

中国大陆地区浙江省使用数量最多，共有371333个，北京市第二，共有169212个，广东省第三，共有79255个，上海市第四，共有45408个，江苏省第五，共有41842个。

根据Tomcat官网的数据，版本更新时间在2020年之后的共有Tomcat 7.0.100（2020-02-14），Tomcat 9.0.31（2020-02-11），Tomcat 8.5.51（2020-02-11）。

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务