在AJP中使用“机密”时使用Tomcat 7.0.100和Apache服务器2.4获得错误403

Question

由于bug CVE-2020-1938，我们希望使用最新的Tomcat 7.0.100。还请参阅年-2020-1938我们还使用了版本2.4中的Apache，该服务器通过AJP连接到Tomcat。

最新的Tomcat版本需要各种新的安全通信设置，这是我们所做的。不幸的是，我们总是得到HTTP错误403，并且不知道原因。

在Apache workers.properties中，我们有以下设置：

worker.list=okkommwm57f
ps=\
worker.okkommwm57f.type=ajp13
worker.okkommwm57f.host=192.168.181.240
worker.okkommwm57f.secret=123456
worker.okkommwm57f.port=8309
worker.okkommwm57f.socket_keepalive=1
worker.okkommwm57f.connect_timeout=10000  
worker.okkommwm57f.prepost_timeout=10000
worker.okkommwm57f.socket_timeout=10
worker.okkommwm57f.connection_pool_timeout=600

AJP连接器配置如下所示：

<Connector port="8309" protocol="AJP/1.3" redirectPort="8443" secretRequired="true" secret="123456" address="192.168.181.240" />

当我测试站点时，我总是得到HTTP错误403。我试过不同的版本，但都没有用。已经将"secretRequired“设置为"false”。也不管用。

也许有人能帮我解决这个问题。谢谢。

Answer 1

我也有过同样的问题。

我必须将allowedRequestAttributesPattern=".*"添加到连接器中

所以在你的情况下

<Connector port="8309" protocol="AJP/1.3" redirectPort="8443" secretRequired="true" secret="123456" address="192.168.181.240" allowedRequestAttributesPattern=".*" />

这是与Tomcat 7.0.100一起添加的一个新属性。

向AJP/1.3连接器添加一个新属性allowedRequestAttributesPattern。带有未识别属性的请求将被403阻止。(markt)

虽然我还没弄清楚我们要发送什么属性。但是，如果该设置适用于通配符，则可能是将属性作为AJP请求的一部分发送，而这些属性是不被识别的。

Answer 2

我也有过同样的问题。诀窍是设置一个密码。因此，以下问题为我们解决了：

server.xml：

<Connector port="8109" protocol="AJP/1.3" redirectPort="8443" secret="verysecure" secretRequired="true"/>

worker.properties：

worker.tomcat-06.secret=verysecure