चीनच्या चैटीन टेकच्या संशोधकांनी जाहीर केले नवीन शोधाबद्दल माहिती, जसे त्यांनी ओळखले आहे लोकप्रिय सर्व्हलेट कंटेनर मध्ये एक असुरक्षा (जावा सर्व्हलेट, जावा सर्व्हर पृष्ठे, जावा एक्सप्रेशन भाषा आणि जावा वेबसॉकेट) अपाचे टोमकाटी (आधीच सीव्हीई -2020-1938 म्हणून सूचीबद्ध).
ही असुरक्षितता त्यांना "घोस्टकॅट" कोड नाव देण्यात आले होते आणि गंभीर तीव्रता पातळी (9.8 सीव्हीएसएस). समस्या डीफॉल्ट कॉन्फिगरेशनमध्ये विनंती पाठविण्यास परवानगी देतो नेटवर्क पोर्ट 8009 मार्गे वेब अनुप्रयोग निर्देशिकेत कोणत्याही फाईलची सामग्री वाचण्यासाठी, अनुप्रयोग स्त्रोत कोड आणि कॉन्फिगरेशन फायलींसह.
असुरक्षा देखील अनुप्रयोग कोडमध्ये इतर फायली आयात करण्यास परवानगी देते, जे परवानगी देते कोड अंमलबजावणी आयोजित करा सर्व्हरवर अनुप्रयोगास सर्व्हरवर फायली अपलोड करण्याची परवानगी दिली असल्यास.
उदाहरणार्थ, वेबसाइट अॅप्लिकेशन वापरकर्त्यांना फाइल्स अपलोड करण्यास परवानगी देते की नाही, आक्रमणकर्ता आकारू शकतो प्रथम JSP स्क्रिप्ट कोड असलेली फाईल सर्व्हरवर दुर्भावनायुक्त (अपलोड केलेली फाइल स्वतः कोणत्याही प्रकारच्या फाईल असू शकते, जसे की प्रतिमा, साध्या मजकूर फाइल्स इ.) आणि नंतर असुरक्षिततेचे शोषण करून अपलोड केलेली फाईल समाविष्ट करा घोस्टकॅट वरुन, जे अंतिमतः रिमोट कोड अंमलबजावणीस कारणीभूत ठरू शकते.
एजेपी ड्रायव्हरसह नेटवर्क पोर्टवर विनंती पाठविणे शक्य असल्यास आक्रमण केले जाऊ शकते, असेही नमूद केले आहे. प्राथमिक माहितीनुसार, नेटवर्क आढळले एजेपी प्रोटोकॉल वापरुन विनंत्या स्वीकारणार्या 1.2 दशलक्षाहून अधिक होस्ट.
एजेपी प्रोटोकॉलमध्ये असुरक्षा उपस्थित आहे आणि ते अंमलबजावणीच्या त्रुटीमुळे उद्भवत नाही.
एचटीटीपी कनेक्शन स्वीकारण्याव्यतिरिक्त (पोर्ट 8080) डीफॉल्टनुसार, अपाचे टॉमकाट मधील त्यात प्रवेश करणे शक्य आहे वेब अनुप्रयोग करीता एजेपी प्रोटोकॉल वापरुन (अपाचे जर्जर प्रोटोकॉल, पोर्ट 8009), जे उच्च कार्यक्षमतेसाठी अनुकूलित एचटीटीपीचे बायनरी alogनालॉग आहे, सामान्यत: टॉमकाट सर्व्हरमधून क्लस्टर तयार करताना किंवा टॉमकाटशी उलट प्रॉक्सी किंवा लोड बॅलेन्सरवरील संवाद गतीसाठी वापरला जातो.
एजेपी सर्व्हरवरील फायलींमध्ये प्रवेश करण्यासाठी एक मानक फंक्शन प्रदान करते, जे उघड करण्याच्या अधीन नसलेल्या फायलींच्या पावतीसह वापरले जाऊ शकते.
हे समजले आहे की प्रवेश एजेपी केवळ विश्वासू सेवकांसाठीच खुली आहेपरंतु खरं तर, डीफॉल्ट टॉमकाट कॉन्फिगरेशनमध्ये, ड्रायव्हरला सर्व नेटवर्क इंटरफेसवर लाँच केले गेले आणि ऑथेंटिफिकेशनशिवाय विनंत्या स्वीकारल्या गेल्या.
वेब अनुप्रयोगातील कोणत्याही फाईलमध्ये प्रवेश करणे शक्य आहे, त्यामध्ये डब्ल्यूईबी-आयएनएफ, मेटा-आयएनएफ आणि इतर कोणतीही निर्देशिका सर्व्हलेटकॉन्टेक्स्ट. एजेपी आपल्याला वेब अनुप्रयोगास उपलब्ध असलेल्या निर्देशिकांमधील कोणतीही फाईल जेएसपी स्क्रिप्ट म्हणून वापरण्याची परवानगी देखील देते.
6 वर्षांपूर्वी टॉमॅकेट 13.x शाखा सुरू केल्यापासून ही समस्या स्पष्ट झाली आहे. टॉमकाट स्वतः व्यतिरिक्त, ही समस्या वापरणार्या उत्पादनांवरही परिणाम करतेजसे की रेड हॅट जेबॉस वेब सर्व्हर (जेडब्ल्यूएस), जेबॉस एंटरप्राइझ Applicationप्लिकेशन प्लॅटफॉर्म (ईएपी), तसेच स्प्रिंग बूट वापरणारे स्टँडअलोन वेब Springप्लिकेशन्स.
तसेच एक समान असुरक्षितता आढळली (सीव्हीई -2020-1745) अंडरटो वेब सर्व्हरवर वाइल्डफ्लाय serverप्लिकेशन सर्व्हरमध्ये वापरलेले आहे. सध्या, विविध गटांनी शोषणांची डझनाहून अधिक कार्यरत उदाहरणे तयार केली आहेत.
अपाचे टॉमकेटने अधिकृतपणे आवृत्ती 9.0.31, 8.5.51 आणि 7.0.100 प्रकाशित केली आहे ही असुरक्षा सुधारण्यासाठी ही असुरक्षा योग्यरित्या दुरुस्त करण्यासाठी, आपल्या सर्व्हर वातावरणात टॉमकॅट एजेपी कनेक्टर सेवा वापरली असल्यास आपण प्रथम हे निश्चित केले पाहिजे:
- जर क्लस्टर किंवा रिव्हर्स प्रॉक्सीचा वापर केला नसेल तर तो मुळात हे निर्धारित केला जाऊ शकतो की एजेपी वापरली जात नाही.
- नसल्यास, आपल्याला क्लस्टर किंवा रिव्हर्स सर्व्हर टॉमकॅट एजेपी कनेक्ट सेवेशी संप्रेषण करीत आहे की नाही हे शोधणे आवश्यक आहे.
असेही नमूद केले आहे अद्यतने आता विविध लिनक्स वितरणात उपलब्ध आहेत जसे: डेबियन, उबंटू, आरएचईएल, फेडोरा, सुसे.
आवश्यक नसल्यास, आपण टॉमकाट एजेपी कनेक्टर सेवा अक्षम करू शकता (ऐकण्याच्या सॉकेटला स्थानिक होस्टवर बांधू शकता किंवा कनेक्टर पोर्ट = »8009 ″ वर ओळ टाइप करू शकता), किंवा अधिकृत न केलेला प्रवेश कॉन्फिगर करू शकता.
आपल्याला त्याबद्दल अधिक जाणून घेऊ इच्छित असल्यास आपण सल्ला घेऊ शकता खालील दुवा.