চীন চেইটিন টেকের গবেষকরা মুক্তি পেয়েছেন একটি নতুন আবিষ্কার সম্পর্কে তথ্য যেমন তারা সনাক্ত করেছে জনপ্রিয় সার্লেট পাত্রে একটি দুর্বলতা (জাভা সার্লেট, জাভা সার্ভার পৃষ্ঠা, জাভা এক্সপ্রেশন ভাষা এবং জাভা ওয়েবস্কট) আপাচে টমকাটি (ইতিমধ্যে CVE-2020-1938 হিসাবে তালিকাভুক্ত)।
এই দুর্বলতা তাদের কোড নাম "ঘোস্টকাট" দেওয়া হয়েছিল এবং একটি গুরুতর তীব্রতা স্তর (9.8 সিভিএসএস)। সমস্যাটি ডিফল্ট কনফিগারেশনে একটি অনুরোধ প্রেরণে অনুমতি দেয় নেটওয়ার্ক পোর্টের মাধ্যমে 8009 ওয়েব অ্যাপ্লিকেশন ডিরেক্টরিতে যে কোনও ফাইলের সামগ্রী পড়তেঅ্যাপ্লিকেশন উত্স কোড এবং কনফিগারেশন ফাইল সহ।
দুর্বলতা অ্যাপ্লিকেশন কোডে অন্য ফাইলগুলি আমদানির অনুমতি দেয়, যা করতে পারবেন কোড সম্পাদন সংগঠিত করুন সার্ভারে যদি অ্যাপ্লিকেশনটি ফাইলগুলিকে সার্ভারে আপলোড করার অনুমতি দেয়।
উদাহরণ স্বরূপ, ওয়েবসাইট অ্যাপ্লিকেশন ব্যবহারকারীদের ফাইল আপলোড করার অনুমতি দেয় কিনা, একজন আক্রমণকারী চার্জ করতে পারে প্রথম জেএসপি স্ক্রিপ্ট কোডযুক্ত একটি ফাইল সার্ভারে দূষিত (আপলোড করা ফাইলটি যে কোনও ধরণের ফাইল হতে পারে, যেমন চিত্র, প্লেইন টেক্সট ফাইল ইত্যাদি) এবং তারপরে দুর্বলতা কাজে লাগিয়ে আপলোড করা ফাইলটি অন্তর্ভুক্ত করুন ঘোস্টক্যাট থেকে, যা পরিণামে রিমোট কোড কার্যকর করতে পারে।
এটিও উল্লেখ করা হয়েছে যে কোনও এজেপি ড্রাইভারের সাথে কোনও নেটওয়ার্ক পোর্টে একটি অনুরোধ পাঠানো সম্ভব হলে আক্রমণ চালানো যেতে পারে। প্রাথমিক তথ্য অনুযায়ী, নেটওয়ার্ক পাওয়া গেছে এজেপি প্রোটোকল ব্যবহার করে অনুরোধ গ্রহণ করে 1.2 মিলিয়নেরও বেশি হোস্ট।
দুর্বলতা এজেপি প্রোটোকলে উপস্থিত রয়েছে এবং এটি বাস্তবায়নের ত্রুটির কারণে হয় না।
এইচটিটিপি সংযোগ গ্রহণ করার পাশাপাশি (পোর্ট 8080) ডিফল্টরূপে অ্যাপাচি টমক্যাটে এটি অ্যাক্সেস সম্ভব ওয়েব অ্যাপ্লিকেশন এজেপি প্রোটোকল ব্যবহার করে (অ্যাপাচি জর্জার প্রোটোকল, পোর্ট 8009), যা উচ্চতর পারফরম্যান্সের জন্য অনুকূলিত এইচটিটিপির একটি বাইনারি এনালগ যা সাধারণত টমক্যাট সার্ভারগুলি থেকে একটি ক্লাস্টার তৈরি করার সময় বা বিপরীত প্রক্সি বা লোড ব্যালেন্সারের উপর টমক্যাটের সাথে মিথস্ক্রিয়া গতি বাড়ানোর জন্য ব্যবহৃত হয়।
এজেপি সার্ভারে ফাইল অ্যাক্সেস করার জন্য একটি মানক ফাংশন সরবরাহ করে, যা প্রকাশের বিষয় নয় এমন ফাইলগুলির প্রাপ্তি সহ ব্যবহার করা যেতে পারে।
এটি বোঝা যাচ্ছে যে অ্যাক্সেস এজেপি কেবলমাত্র বিশ্বস্ত চাকরদের জন্য উন্মুক্ততবে প্রকৃতপক্ষে, ডিফল্ট টমক্যাট কনফিগারেশনে, ড্রাইভারটি সমস্ত নেটওয়ার্ক ইন্টারফেসে চালু হয়েছিল এবং অনুরোধগুলি অনুমোদন ছাড়াই গৃহীত হয়েছিল।
ওয়েব অ্যাপ্লিকেশনটিতে ওয়েবে-আইএনএফ, মেটা-আইএনএফ এবং অন্য কোনও ডিরেক্টরি সার্ভারকন্টেক্সটেক্সটরেটস রিসোর্সএস্ট্রিম () কলের মাধ্যমে ফিরে আসা কোনও ফাইলের অ্যাক্সেস সম্ভব। এজেপি আপনাকে কোনও ওয়েব অ্যাপ্লিকেশনে উপলব্ধ ডিরেক্টরিতে কোনও ফাইলকে জেএসপি স্ক্রিপ্ট হিসাবে ব্যবহার করার অনুমতি দেয়।
টমক্যাট x.x শাখা ১৩ বছর আগে প্রকাশিত হওয়ার পরে থেকেই সমস্যাটি স্পষ্ট। টমকেট নিজেও, সমস্যা এটি ব্যবহার করে এমন পণ্যগুলিকেও প্রভাবিত করেযেমন রেড হ্যাট জবস ওয়েব সার্ভার (জেডাব্লুএস), জবস এন্টারপ্রাইজ অ্যাপ্লিকেশন প্ল্যাটফর্ম (ইএপি), পাশাপাশি স্ট্র্যান্ডলোন ওয়েব অ্যাপ্লিকেশন যা স্প্রিং বুট ব্যবহার করে।
এছাড়াও অনুরূপ দুর্বলতা পাওয়া গেছে (জন্য CVE-2020-1745) আন্ডারটও ওয়েব সার্ভারে ওয়াইল্ডফ্লাই অ্যাপ্লিকেশন সার্ভারে ব্যবহৃত। বর্তমানে বিভিন্ন গোষ্ঠী শোষণের এক ডজনেরও বেশি কাজের উদাহরণ প্রস্তুত করেছে।
অ্যাপাচি টমক্যাট আনুষ্ঠানিকভাবে 9.0.31, 8.5.51 এবং 7.0.100 সংস্করণ প্রকাশ করেছে এই দুর্বলতা সংশোধন করতে। এই দুর্বলতাটিকে সঠিকভাবে সংশোধন করতে, আপনাকে প্রথমে নির্ধারণ করতে হবে টমক্যাট এজেপি সংযোগকারী পরিষেবাটি আপনার সার্ভার পরিবেশে ব্যবহৃত হচ্ছে কিনা:
- যদি ক্লাস্টার বা বিপরীত প্রক্সি ব্যবহার না করা হয় তবে এটি মূলত নির্ধারণ করা যায় যে এজেপি ব্যবহার করা হয়নি।
- যদি তা না হয় তবে আপনাকে খুঁজে বের করতে হবে যে ক্লাস্টার বা বিপরীত সার্ভারটি টমক্যাট এজেপি কানেক্টের সাথে যোগাযোগ করছে
এটিও উল্লেখ করা হয়েছে আপডেটগুলি এখন বিভিন্ন লিনাক্স বিতরণে উপলব্ধ পছন্দ: দেবিয়ান, উবুন্টু, আরএইচইল, ফেডোরা, সুস U
কার্যকারণ হিসাবে, আপনি টমক্যাট এজেপি সংযোগকারী পরিষেবাটি অক্ষম করতে পারেন (শ্রোতার সকেটকে লোকালহোস্টে আবদ্ধ করুন বা সংযোগকারী পোর্টের সাথে লাইনটি মন্তব্য করুন = »8009 ″), প্রয়োজন না হলে বা প্রমাণীকৃত অ্যাক্সেসটি কনফিগার করতে পারেন।
আপনি যদি এ সম্পর্কে আরও জানতে চান তবে পরামর্শ নিতে পারেন নিম্নলিখিত লিঙ্ক।