चीन के चैटिन टेक के शोधकर्ताओं ने जारी किया एक नई खोज के बारे में जानकारी, जैसा कि उन्होंने पहचाना है लोकप्रिय सर्वलेट कंटेनर में भेद्यता (जावा सर्वलेट, जावा सर्वर पेज, जावा एक्सप्रेशन लैंग्वेज और जावा वेबस्केट) अपाचे टमाटरt (पहले से ही CVE-2020-1938 के रूप में सूचीबद्ध)।
यह भेद्यता उन्हें कोड नाम "घोस्टकट" सौंपा गया था और एक गंभीर गंभीरता स्तर (9.8 CVSS)। समस्या डिफ़ॉल्ट कॉन्फ़िगरेशन में अनुरोध भेजने के लिए अनुमति देता है नेटवर्क पोर्ट 8009 के माध्यम से वेब अनुप्रयोग निर्देशिका में किसी भी फ़ाइल की सामग्री को पढ़ने के लिए, अनुप्रयोग स्रोत कोड और कॉन्फ़िगरेशन फ़ाइलों सहित।
भेद्यता भी आवेदन कोड में अन्य फ़ाइलों को आयात करने की अनुमति देता है, जो अनुमति देता है कोड निष्पादन को व्यवस्थित करें सर्वर पर अगर एप्लिकेशन फाइलों को सर्वर पर अपलोड करने की अनुमति देता है।
उदाहरण के लिए, क्या वेबसाइट एप्लिकेशन उपयोगकर्ताओं को फाइलें अपलोड करने की अनुमति देता है, एक हमलावर चार्ज कर सकता है पहले एक फ़ाइल जिसमें JSP स्क्रिप्ट कोड है सर्वर पर दुर्भावनापूर्ण (अपलोड की गई फ़ाइल स्वयं किसी भी प्रकार की फ़ाइल हो सकती है, जैसे कि चित्र, सादा पाठ फ़ाइलें, आदि) और फिर भेद्यता का शोषण करके अपलोड की गई फ़ाइल को शामिल करें घोस्टकट से, जो अंततः दूरस्थ कोड निष्पादन में परिणाम कर सकता है।
यह भी उल्लेख किया गया है कि अगर एक AJP ड्राइवर के साथ नेटवर्क पोर्ट के लिए अनुरोध भेजना संभव है तो एक हमला किया जा सकता है। प्रारंभिक आंकड़ों के अनुसारनेटवर्क मिला AJP प्रोटोकॉल का उपयोग करके अनुरोध स्वीकार करने वाले 1.2 मिलियन से अधिक होस्ट।
AJP प्रोटोकॉल में भेद्यता मौजूद है और यह कार्यान्वयन त्रुटि के कारण नहीं है।
HTTP कनेक्शन स्वीकार करने के अलावा (पोर्ट 8080) अपाचे टोमाकट में, डिफ़ॉल्ट रूप से इसका उपयोग संभव है वेब अनुप्रयोग के लिए AJP प्रोटोकॉल का उपयोग करना (Apache Jserv Protocol, port 8009), जो उच्च प्रदर्शन के लिए अनुकूलित HTTP का एक द्विआधारी एनालॉग है, जो आमतौर पर Tomcat सर्वर से क्लस्टर बनाते समय या रिवर्स प्रॉक्सी या लोड बैलेंसर पर Tomcat के साथ इंटरैक्शन को गति देने के लिए उपयोग किया जाता है।
AJP सर्वर पर फ़ाइलों तक पहुँचने के लिए एक मानक कार्य प्रदान करता है, जिसका उपयोग किया जा सकता है, उन फाइलों की प्राप्ति सहित, जो प्रकटीकरण के अधीन नहीं हैं।
यह समझा जाता है कि इसका उपयोग AJP केवल विश्वसनीय नौकरों के लिए खुला हैलेकिन वास्तव में, डिफ़ॉल्ट टॉमकैट कॉन्फ़िगरेशन में, ड्राइवर को सभी नेटवर्क इंटरफेस पर लॉन्च किया गया था और प्रमाणीकरण के बिना अनुरोध स्वीकार किए गए थे।
वेब एप्लिकेशन में किसी भी फाइल तक पहुंच संभव है, जिसमें WEB-INF, META-INF की सामग्री शामिल है, और किसी भी अन्य निर्देशिका में ServletContext.getResourceAsStream () कॉल के माध्यम से लौटाया गया है। AJP आपको JSP स्क्रिप्ट के रूप में वेब एप्लिकेशन के लिए उपलब्ध निर्देशिकाओं में किसी भी फ़ाइल का उपयोग करने की अनुमति देता है।
6 साल पहले टॉम्स्क 13.x शाखा जारी होने के बाद से समस्या स्पष्ट हो गई है। खुद टॉमकैट के अलावा, समस्या उन उत्पादों को भी प्रभावित करती है जो इसका उपयोग करते हैं, जैसे Red Hat JBoss वेब सर्वर (JWS), JBoss Enterprise अनुप्रयोग प्लेटफ़ॉर्म (EAP), साथ ही साथ स्प्रिंग बूट का उपयोग करके स्टैंडअलोन वेब अनुप्रयोग।
भी एक समान भेद्यता पाई गई (CVE-2020-1745) अंडरटो वेब सर्वर पर Wildfly एप्लिकेशन सर्वर में उपयोग किया जाता है। वर्तमान में, विभिन्न समूहों ने शोषण के एक दर्जन से अधिक कार्य उदाहरण तैयार किए हैं।
Apache Tomcat ने आधिकारिक तौर पर संस्करण 9.0.31, 8.5.51 और 7.0.100 जारी किए हैं इस भेद्यता को ठीक करने के लिए। इस भेद्यता को सही ढंग से ठीक करने के लिए, आपको पहले यह निर्धारित करना होगा कि क्या आपके सर्वर वातावरण में टॉमकैट एजेपी कनेक्टर सेवा का उपयोग किया जाता है:
- यदि क्लस्टर या रिवर्स प्रॉक्सी का उपयोग नहीं किया जाता है, तो आप मूल रूप से निर्धारित कर सकते हैं कि AJP का उपयोग नहीं किया गया है।
- यदि नहीं, तो आपको यह पता लगाना होगा कि क्लस्टर या रिवर्स सर्वर टॉमकैट AJP कनेक्ट सेवा के साथ संचार कर रहा है या नहीं
यह भी उल्लेख है कि अपडेट अब विभिन्न लिनक्स वितरण में उपलब्ध हैं जैसे: डेबियन, उबंटू, आरएचईएल, फेडोरा, एसयूएसई।
वर्कअराउंड के रूप में, आप Tomcat AJP कनेक्टर सेवा को अक्षम कर सकते हैं (सुनने के सॉकेट को लोकलहोस्ट से बांध सकते हैं या कनेक्टर पोर्ट = »8009 comment के साथ लाइन पर टिप्पणी कर सकते हैं, यदि आवश्यक न हो, या प्रमाणित एक्सेस को कॉन्फ़िगर करें।
यदि आप इसके बारे में अधिक जानना चाहते हैं तो आप परामर्श कर सकते हैं निम्नलिखित लिंक।