来自中国柴廷科技的研究人员发布了 他们已经确定的有关新发现的信息 流行的servlet容器中的漏洞 (Java Servlet,JavaServer Pages,Java Expression Language和Java WebSocket) 阿帕奇汤姆卡t(已列为CVE-2020-1938)。
这个漏洞 他们被分配了代号“ Ghostcat” 和严重严重性级别(9.8 CVSS)。 问题 允许在默认配置下发送请求 通过网络端口8009 读取Web应用程序目录中任何文件的内容,包括应用程序源代码和配置文件。
该漏洞还允许将其他文件导入到应用程序代码中,这允许 组织代码执行 如果应用程序允许将文件上载到服务器,则在服务器上显示。
例如, 网站应用程序是否允许用户上传文件, 攻击者可以指控 第一 包含JSP脚本代码的文件 在服务器上具有恶意(上传的文件本身可以是任何类型的文件,例如图像,纯文本文件等) 然后利用此漏洞包含上传的文件 来自Ghostcat,最终可能导致远程执行代码。
还提到如果可以使用AJP驱动程序将请求发送到网络端口,则可以执行攻击。 根据初步数据,发现网络 超过1.2万台主机使用AJP协议接受请求。
该漏洞存在于AJP协议中 它不是由实现错误引起的。
除了接受HTTP连接 (默认为8080端口)在Apache Tomcat中 可以访问 到网络应用程序 使用AJP协议 (Apache Jserv协议,端口8009),这是HTTP的二进制类似物,已针对更高的性能进行了优化,通常在从Tomcat服务器创建集群或在反向代理或负载平衡器上加快与Tomcat的交互时使用。
AJP提供了访问服务器上文件的标准功能,可以使用,包括接收不公开的文件。
据了解,获得 AJP仅向受信任的仆人开放但实际上,在默认的Tomcat配置中,驱动程序在所有网络接口上启动,并且未经身份验证即接受了请求。
可以访问Web应用程序中的任何文件,包括WEB-INF,META-INF的内容以及通过ServletContext.getResourceAsStream()调用返回的任何其他目录。 AJP还允许您将Web应用程序可用目录中的任何文件用作JSP脚本。
自从6年前发布Tomcat 13.x分支以来,该问题就很明显了。。 除了Tomcat本人之外, 该问题还会影响使用它的产品,例如Red Hat JBoss Web服务器(JWS),JBoss企业应用程序平台(EAP)以及使用Spring Boot的独立Web应用程序。
还 发现了类似的漏洞 (CVE-2020-1745) 在Undertow Web服务器上 在Wildfly应用程序服务器中使用。 当前,各个小组已经准备了十多个利用实例。
Apache Tomcat已正式发布版本9.0.31、8.5.51和7.0.100 更正此漏洞。 正确纠正此漏洞,必须首先确定服务器环境中是否使用了Tomcat AJP Connector服务:
- 如果不使用群集或反向代理,则基本上可以确定未使用AJP。
- 如果不是,则需要确定群集或反向服务器是否正在与Tomcat AJP Connect服务通信。
还提到 更新现已在不同的Linux发行版中提供 像:Debian,Ubuntu,RHEL,Fedora,SUSE。
解决方法是,如果不需要,可以禁用Tomcat AJP连接器服务(将侦听套接字绑定到localhost或使用连接器端口=»8009”注释掉该行),或配置经过身份验证的访问。
如果您想了解更多信息,可以咨询 以下链接。