Apache Tomcat相关漏洞处理

（1）如未使用Tomcat AJP协议，禁用Tomcat 的 AJP 协议端口，在 conf/server.xml 配置文件中注释掉

<!--<Connector port="8009" protocol="AJP/1.3"redirectPort="8443" />-->

（2）如使用了Tomcat AJP协议，为AJP Connector配置secret来设置AJP协议的认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol=“AJP/1.3” redirectPort="8443"address=“YOUR_TOMCAT_IP_ADDRESS” secret=“YOUR_TOMCAT_AJP_SECRET”/>

为AJPConnector配置requiredSecret来设置AJP协议认证凭证。例如（注意必须将YOUR_TOMCAT_AJP_SECRET更改为一个安全性高、无法被轻易猜解的值）：

<Connector port="8009"protocol=“AJP/1.3” redirectPort="8443"address="YOUR_TOMCAT_IP_ADDRESS"requiredSecret=“YOUR_TOMCAT_AJP_SECRET” />

（3）对Tomcat进行版本升级，漏洞影响版本：

Apache Tomcat 6
Apache Tomcat 7 < 7.0.100
Apache Tomcat 8 < 8.5.51
Apache Tomcat 9 < 9.0.31

tomcat8升级至apache-tomcat-8.5.81.tar.gz，可到官网下载：https://tomcat.apache.org/download-80.cgi
tomcat9升级至apache-tomcat-9.0.64.tar.gz，可到官网下载：https://tomcat.apache.org/download-90.cgi
1）备份生产环境tomcat目录下bin文件夹和lib文件夹；

cp -r /tomcat8/bin/ /tomcat8/bin_bak/
cp -r /tomcat8/lib/ /tomcat8/bin_lib/

2）将最新版本tomcat上传至服务器并解压；

tar -zxvf apache-tomcat-8.5.81.tar.gz

3）删除旧版本tomcat目录下bin和lib文件夹；

rm -r /tomcat8/bin
rm -r /tomcat8/lib

4）停止老版本tomcat

sh /tomcat8/bin/shutdown.sh

5）将新版本tomcat下bin和lib文件夹复制到旧版本目录下；

cp -r /apache-tomcat-8.5.81/bin/ /tomcat8/
cp -r /apache-tomcat-8.5.81/lib/ /tomcat8/

6）启动新版本tomcat

sh /tomcat8/bin/startup.sh

7）查看版本号

sh /tomcat8/bin/version.sh