为什么这个漏洞被称作 Ghostcat（幽灵猫）？

这个漏洞影响全版本默认配置下的 Tomcat（在我们发现此漏洞的时候，确认其影响 Tomcat 9/8/7/6 全版本，而年代过于久远的更早的版本未进行验证），这意味着它在 Tomcat 里已经潜伏了长达十多年的时间。

 Ghostcat 漏洞有哪些危害？

通过 Ghostcat 漏洞，攻击者可以读取 Tomcat 所有 webapp 目录下的任意文件。

此外如果网站应用提供文件上传的功能，攻击者可以先向服务端上传一个内容含有恶意 JSP 脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等）， 然后利用 Ghostcat 漏洞进行文件包含，从而达到代码执行的危害。

哪些版本的 Tomcat 受到 Ghostcat 漏洞影响？

Apache Tomcat 9.x < 9.0.31

Apache Tomcat 8.x < 8.5.51

Apache Tomcat 7.x < 7.0.100

Apache Tomcat 6.x

什么情况下的 Tomcat 可以被 Ghostcat 漏洞利用？

对于处在漏洞影响版本范围内的 Tomcat 而言，若其开启 AJP Connector 且攻击者能 够访问 AJP Connector 服务端口的情况下，即存在被 Ghostcat 漏洞利用的风险。

注意 Tomcat AJP Connector 默认配置下即为开启状态，且监听在 0.0.0.0:8009 。

 Ghostcat 漏洞该如何修复或缓解？

Tomcat 官方已发布 9.0.31、8.5.51 及 7.0.100 版本针对此漏洞进行修复。

要正确修复此漏洞，首先需要确定您的服务器环境中是否有用到 Tomcat AJP 协议：

- 如果未使用集群或反向代理，则基本上可以确定没有用到 AJP；

- 如果使用了集群或反向代理，则需要看集群或反代服务器是否与 Tomcat 服务器 AJP 进行通信

1. 如果未使用 Tomcat AJP 协议：

如果确定未使用 Tomcat AJP 协议，则可以直接将 Tomcat 升级到 9.0.31、8.5.51 或 7.0.100 版本进行漏洞修复。

 而对于确定未使用 Tomcat AJP 协议，但无法进行版本更新、或者是更老版本的用户， 可以考虑直接关闭 AJP Connector，或将其监听地址改为仅监听在本机 localhost。

具体步骤:

（1）编辑 /conf/server.xml，找到如下行（ 为 Tomcat 的工作目录）：