ಚೀನಾದ ಚೈಟಿನ್ ಟೆಕ್ ಸಂಶೋಧಕರು ಬಿಡುಗಡೆ ಮಾಡಿದ್ದಾರೆ ಅವರು ಗುರುತಿಸಿದಂತೆ ಹೊಸ ಆವಿಷ್ಕಾರದ ಮಾಹಿತಿ ಜನಪ್ರಿಯ ಸರ್ವ್ಲೆಟ್ ಪಾತ್ರೆಯಲ್ಲಿ ದುರ್ಬಲತೆ (ಜಾವಾ ಸರ್ವ್ಲೆಟ್, ಜಾವಾ ಸರ್ವರ್ ಪುಟಗಳು, ಜಾವಾ ಅಭಿವ್ಯಕ್ತಿ ಭಾಷೆ ಮತ್ತು ಜಾವಾ ವೆಬ್ಸಾಕೆಟ್) ಅಪಾಚೆ ಟಾಮ್ಕಾಟಿ (ಈಗಾಗಲೇ ಸಿವಿಇ -2020-1938 ಎಂದು ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ).
ಈ ದುರ್ಬಲತೆ ಅವರಿಗೆ "ಘೋಸ್ಟ್ಕ್ಯಾಟ್" ಎಂಬ ಕೋಡ್ ಹೆಸರನ್ನು ನಿಗದಿಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ನಿರ್ಣಾಯಕ ತೀವ್ರತೆಯ ಮಟ್ಟ (9.8 ಸಿವಿಎಸ್ಎಸ್). ಸಮಸ್ಯೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಡೀಫಾಲ್ಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ ಅನುಮತಿಸುತ್ತದೆ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ 8009 ಮೂಲಕ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿ ಯಾವುದೇ ಫೈಲ್ನ ವಿಷಯವನ್ನು ಓದಲುಅಪ್ಲಿಕೇಶನ್ ಮೂಲ ಕೋಡ್ಗಳು ಮತ್ತು ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ಗಳನ್ನು ಒಳಗೊಂಡಂತೆ.
ದುರ್ಬಲತೆ ಇತರ ಫೈಲ್ಗಳನ್ನು ಅಪ್ಲಿಕೇಶನ್ ಕೋಡ್ಗೆ ಆಮದು ಮಾಡಿಕೊಳ್ಳಲು ಸಹ ಅನುಮತಿಸುತ್ತದೆ, ಇದು ಅನುಮತಿಸುತ್ತದೆ ಕೋಡ್ ಮರಣದಂಡನೆಯನ್ನು ಆಯೋಜಿಸಿ ಫೈಲ್ಗಳನ್ನು ಸರ್ವರ್ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಲು ಅಪ್ಲಿಕೇಶನ್ ಅನುಮತಿಸಿದರೆ ಸರ್ವರ್ನಲ್ಲಿ.
ಉದಾಹರಣೆಗೆ, ವೆಬ್ಸೈಟ್ ಅಪ್ಲಿಕೇಶನ್ ಬಳಕೆದಾರರಿಗೆ ಫೈಲ್ಗಳನ್ನು ಅಪ್ಲೋಡ್ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆಯೇ, ಆಕ್ರಮಣಕಾರನು ಶುಲ್ಕ ವಿಧಿಸಬಹುದು ಮೊದಲು ಜೆಎಸ್ಪಿ ಸ್ಕ್ರಿಪ್ಟ್ ಕೋಡ್ ಹೊಂದಿರುವ ಫೈಲ್ ಸರ್ವರ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತವಾಗಿದೆ (ಅಪ್ಲೋಡ್ ಮಾಡಿದ ಫೈಲ್ ಸ್ವತಃ ಚಿತ್ರಗಳು, ಸರಳ ಪಠ್ಯ ಫೈಲ್ಗಳು ಇತ್ಯಾದಿ ಯಾವುದೇ ರೀತಿಯ ಫೈಲ್ ಆಗಿರಬಹುದು) ತದನಂತರ ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಮೂಲಕ ಅಪ್ಲೋಡ್ ಮಾಡಿದ ಫೈಲ್ ಅನ್ನು ಸೇರಿಸಿ ಘೋಸ್ಟ್ಕ್ಯಾಟ್ನಿಂದ, ಇದು ಅಂತಿಮವಾಗಿ ರಿಮೋಟ್ ಕೋಡ್ ಮರಣದಂಡನೆಗೆ ಕಾರಣವಾಗಬಹುದು.
ಎಜೆಪಿ ಡ್ರೈವರ್ನೊಂದಿಗೆ ನೆಟ್ವರ್ಕ್ ಪೋರ್ಟ್ಗೆ ವಿನಂತಿಯನ್ನು ಕಳುಹಿಸಲು ಸಾಧ್ಯವಾದರೆ ದಾಳಿ ಮಾಡಬಹುದು ಎಂದು ಸಹ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ. ಪ್ರಾಥಮಿಕ ಮಾಹಿತಿಯ ಪ್ರಕಾರ, ನೆಟ್ವರ್ಕ್ ಕಂಡುಬಂದಿದೆ ಎಜೆಪಿ ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸುವ 1.2 ದಶಲಕ್ಷಕ್ಕೂ ಹೆಚ್ಚು ಹೋಸ್ಟ್ಗಳು.
ದುರ್ಬಲತೆ ಎಜೆಪಿ ಪ್ರೋಟೋಕಾಲ್ನಲ್ಲಿದೆ ಮತ್ತು ಇದು ಅನುಷ್ಠಾನ ದೋಷದಿಂದ ಉಂಟಾಗುವುದಿಲ್ಲ.
ಎಚ್ಟಿಟಿಪಿ ಸಂಪರ್ಕಗಳನ್ನು ಸ್ವೀಕರಿಸುವ ಜೊತೆಗೆ (ಪೋರ್ಟ್ 8080) ಅಪಾಚೆ ಟಾಮ್ಕ್ಯಾಟ್ನಲ್ಲಿ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಪ್ರವೇಶಿಸಲು ಸಾಧ್ಯವಿದೆ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಎಜೆಪಿ ಪ್ರೋಟೋಕಾಲ್ ಬಳಸಿ (ಅಪಾಚೆ ಜೆಸರ್ವ್ ಪ್ರೊಟೊಕಾಲ್, ಪೋರ್ಟ್ 8009), ಇದು ಹೆಚ್ಚಿನ ಕಾರ್ಯಕ್ಷಮತೆಗಾಗಿ ಹೊಂದುವಂತೆ ಎಚ್ಟಿಟಿಪಿಯ ಬೈನರಿ ಅನಲಾಗ್ ಆಗಿದೆ, ಇದನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಟಾಮ್ಕ್ಯಾಟ್ ಸರ್ವರ್ಗಳಿಂದ ಕ್ಲಸ್ಟರ್ ರಚಿಸುವಾಗ ಅಥವಾ ರಿವರ್ಸ್ ಪ್ರಾಕ್ಸಿ ಅಥವಾ ಲೋಡ್ ಬ್ಯಾಲೆನ್ಸರ್ನಲ್ಲಿ ಟಾಮ್ಕ್ಯಾಟ್ನೊಂದಿಗಿನ ಸಂವಹನವನ್ನು ವೇಗಗೊಳಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ.
ಸರ್ವರ್ನಲ್ಲಿ ಫೈಲ್ಗಳನ್ನು ಪ್ರವೇಶಿಸಲು ಎಜೆಪಿ ಪ್ರಮಾಣಿತ ಕಾರ್ಯವನ್ನು ಒದಗಿಸುತ್ತದೆ, ಬಹಿರಂಗಪಡಿಸುವಿಕೆಗೆ ಒಳಪಡದ ಫೈಲ್ಗಳ ಸ್ವೀಕೃತಿ ಸೇರಿದಂತೆ ಇದನ್ನು ಬಳಸಬಹುದು.
ಪ್ರವೇಶ ಎಂದು ತಿಳಿಯಲಾಗಿದೆ ಎಜೆಪಿ ವಿಶ್ವಾಸಾರ್ಹ ಸೇವಕರಿಗೆ ಮಾತ್ರ ತೆರೆದಿರುತ್ತದೆಆದರೆ ವಾಸ್ತವವಾಗಿ, ಡೀಫಾಲ್ಟ್ ಟಾಮ್ಕ್ಯಾಟ್ ಕಾನ್ಫಿಗರೇಶನ್ನಲ್ಲಿ, ಎಲ್ಲಾ ನೆಟ್ವರ್ಕ್ ಇಂಟರ್ಫೇಸ್ಗಳಲ್ಲಿ ಚಾಲಕವನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಮತ್ತು ದೃ ation ೀಕರಣವಿಲ್ಲದೆ ವಿನಂತಿಗಳನ್ನು ಸ್ವೀಕರಿಸಲಾಗಿದೆ.
WEB-INF, META-INF, ಮತ್ತು ServletContext.getResourceAsStream () ಕರೆಯ ಮೂಲಕ ಹಿಂತಿರುಗಿದ ಯಾವುದೇ ಡೈರೆಕ್ಟರಿಯನ್ನು ಒಳಗೊಂಡಂತೆ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿನ ಯಾವುದೇ ಫೈಲ್ಗೆ ಪ್ರವೇಶ ಸಾಧ್ಯ. ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗೆ ಲಭ್ಯವಿರುವ ಡೈರೆಕ್ಟರಿಗಳಲ್ಲಿ ಯಾವುದೇ ಫೈಲ್ ಅನ್ನು ಜೆಎಸ್ಪಿ ಸ್ಕ್ರಿಪ್ಟ್ನಂತೆ ಬಳಸಲು ಎಜೆಪಿ ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
6 ವರ್ಷಗಳ ಹಿಂದೆ ಟಾಮ್ಕ್ಯಾಟ್ 13.x ಶಾಖೆಯನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದಾಗಿನಿಂದ ಸಮಸ್ಯೆ ಸ್ಪಷ್ಟವಾಗಿದೆ. ಸ್ವತಃ ಟಾಮ್ಕ್ಯಾಟ್ ಜೊತೆಗೆ, ಸಮಸ್ಯೆ ಅದನ್ನು ಬಳಸುವ ಉತ್ಪನ್ನಗಳ ಮೇಲೂ ಪರಿಣಾಮ ಬೀರುತ್ತದೆಉದಾಹರಣೆಗೆ, Red Hat JBoss ವೆಬ್ ಸರ್ವರ್ (JWS), JBoss ಎಂಟರ್ಪ್ರೈಸ್ ಅಪ್ಲಿಕೇಷನ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ (EAP), ಜೊತೆಗೆ ಸ್ಪ್ರಿಂಗ್ ಬೂಟ್ ಬಳಸುವ ಸ್ವತಂತ್ರ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ಗಳು.
ಸಹ ಇದೇ ರೀತಿಯ ದುರ್ಬಲತೆ ಕಂಡುಬಂದಿದೆ (ಸಿವಿಇ -2020-1745) ಅಂಡರ್ಟೌ ವೆಬ್ ಸರ್ವರ್ನಲ್ಲಿ ವೈಲ್ಡ್ ಫ್ಲೈ ಅಪ್ಲಿಕೇಶನ್ ಸರ್ವರ್ನಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ. ಪ್ರಸ್ತುತ, ವಿವಿಧ ಗುಂಪುಗಳು ಒಂದು ಡಜನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ದುರುಪಯೋಗದ ಉದಾಹರಣೆಗಳನ್ನು ಸಿದ್ಧಪಡಿಸಿವೆ.
ಅಪಾಚೆ ಟಾಮ್ಕ್ಯಾಟ್ ಅಧಿಕೃತವಾಗಿ 9.0.31, 8.5.51 ಮತ್ತು 7.0.100 ಆವೃತ್ತಿಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ ಈ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಪಡಿಸಲು. ಈ ದುರ್ಬಲತೆಯನ್ನು ಸರಿಯಾಗಿ ಸರಿಪಡಿಸಲು, ನಿಮ್ಮ ಸರ್ವರ್ ಪರಿಸರದಲ್ಲಿ ಟಾಮ್ಕ್ಯಾಟ್ ಎಜೆಪಿ ಕನೆಕ್ಟರ್ ಸೇವೆಯನ್ನು ಬಳಸಲಾಗಿದೆಯೇ ಎಂದು ನೀವು ಮೊದಲು ನಿರ್ಧರಿಸಬೇಕು:
- ಕ್ಲಸ್ಟರ್ ಅಥವಾ ರಿವರ್ಸ್ ಪ್ರಾಕ್ಸಿ ಬಳಸದಿದ್ದರೆ, ಎಜೆಪಿ ಬಳಸಲಾಗುವುದಿಲ್ಲ ಎಂದು ನೀವು ಮೂಲತಃ ನಿರ್ಧರಿಸಬಹುದು.
- ಇಲ್ಲದಿದ್ದರೆ, ಕ್ಲಸ್ಟರ್ ಅಥವಾ ರಿವರ್ಸ್ ಸರ್ವರ್ ಟಾಮ್ಕ್ಯಾಟ್ ಎಜೆಪಿ ಸಂಪರ್ಕ ಸೇವೆಯೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುತ್ತಿದೆಯೇ ಎಂದು ನೀವು ಕಂಡುಹಿಡಿಯಬೇಕು
ಅದನ್ನೂ ಉಲ್ಲೇಖಿಸಲಾಗಿದೆ ನವೀಕರಣಗಳು ಈಗ ವಿಭಿನ್ನ ಲಿನಕ್ಸ್ ವಿತರಣೆಗಳಲ್ಲಿ ಲಭ್ಯವಿದೆ ಹಾಗೆ: ಡೆಬಿಯನ್, ಉಬುಂಟು, ಆರ್ಹೆಚ್ಎಲ್, ಫೆಡೋರಾ, ಎಸ್ಯುಎಸ್ಇ.
ಪರಿಹಾರೋಪಾಯವಾಗಿ, ನೀವು ಟಾಮ್ಕ್ಯಾಟ್ ಎಜೆಪಿ ಕನೆಕ್ಟರ್ ಸೇವೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು (ಕೇಳುವ ಸಾಕೆಟ್ ಅನ್ನು ಲೋಕಲ್ ಹೋಸ್ಟ್ಗೆ ಬಂಧಿಸಿ ಅಥವಾ ಕನೆಕ್ಟರ್ ಪೋರ್ಟ್ = »8009 with ನೊಂದಿಗೆ ಸಾಲಿನಲ್ಲಿ ಕಾಮೆಂಟ್ ಮಾಡಿ), ಅಗತ್ಯವಿಲ್ಲದಿದ್ದರೆ, ಅಥವಾ ದೃ access ೀಕೃತ ಪ್ರವೇಶವನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು.
ನೀವು ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ಬಯಸಿದರೆ ನೀವು ಸಮಾಲೋಚಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್.