【关联漏洞代码】

    CNVD-2020-10487

【漏洞描述】

    Web 应用服务器 Apache Tomcat 被爆存在文件包含漏洞，攻击者可构造恶意的请求包进行文件
包含操作，进而读取受影响 Apache Tomcat 服务器上的 Web 目录文件。
由于 Tomcat 默认开启的 AJP 服务（8009 端口）存在一处文件包含缺陷，攻击者可构造恶意的请求
包进行文件包含操作，进而读取受影响 Tomcat 服务器上的 Web 目录文件。

【影响范围】

    银企平台中后台管理系统中使用了 tomcat，后台配置管理依赖此服务；但 webservice 服务不依
赖此服务。
【修复建议】

    银企平台未使用 Tomcat AJP 协议，可以通过关闭 AJP 服务修复此漏洞。

【修复步骤】

    1、停止银企平台后台管理服务；
        找到银企平台的安装目录\apache-tomcat-6.0.20\bin 下的 shutdowm.bat 或者         shutdowm.sh(linux系统)文件，双击运行停止银企后台管理服务（不影响银企接口服务）。
    2、找到 tomcat 的配置文件 server.xml；
        文件位于银企平台的安装目录/ebservice705/apache-tomcat-6.0.20/conf。
    3、修改配置文件；
        在 server.xml 文件中找到如下行：
            <Connector port="8009"protocol="AJP/1.3" redirectPort="8443" />
        将此行注释掉（也可删掉该行）：
            <!--<Connectorport="8009" protocol="AJP/1.3"redirectPort="8443" />-->
        然后保存文件。
    4、启动银企平台后台管理服务。
        找到银企平台的安装目录\apache-tomcat-6.0.20\bin 下的 startup.bat 或者 startup.sh(linux 系统)
文件，双击启动服务。