如何看待Apache Tomcat被發(fā)現(xiàn)存有“文件包含漏洞”(CNVD-2020 -10487)？軟件中的漏洞是不可避免的！Tomcat這次的漏洞不是什么大問題。這只是數(shù)百個漏洞中的一個。此外，此漏洞

如何看待Apache Tomcat被發(fā)現(xiàn)存有“文件包含漏洞”(CNVD-2020 -10487)？

軟件中的漏洞是不可避免的

！Tomcat這次的漏洞不是什么大問題。這只是數(shù)百個漏洞中的一個。

此外，此漏洞是AJP漏洞，它是連接Tomcat的Apache httpd的內(nèi)部協(xié)議。事實上，現(xiàn)在很少使用。目前Tomcat主要有兩種使用方式：直接使用HTTP協(xié)議提供服務；前端使用nginx進行負載均衡，后端Tomcat仍然使用HTTP。根本沒有地方放AJP，所以沒必要大驚小怪。

此漏洞的主要問題是：事實上，AJP協(xié)議是默認啟用的。它在端口8009上監(jiān)視。雖然你從不使用它，但它總是開著的。所以，也許很多人甚至沒有注意到他們有AJP。

事實上，處理方法也非常簡單：如果不使用它，只需關(guān)閉它；如果要使用它，只需限制訪問IP。當然，最終的解決方案是：升級Tomcat。

這是件小事。我不知道為什么這么多人關(guān)注它？！疫情之下都是閑著無聊嗎？！