來自中國柴廷科技的研究人員發布了 他們已經確定的有關新發現的信息 流行的servlet容器中的漏洞 (Java Servlet,JavaServer Pages,Java Expression Language和Java WebSocket) 阿帕奇湯姆卡t(已列為CVE-2020-1938)。
這個漏洞 他們被分配了代號“ Ghostcat” 和嚴重嚴重性級別(9.8 CVSS)。 問題 允許使用默認配置發送請求 通過網絡端口8009 讀取Web應用程序目錄中任何文件的內容,包括應用程序源代碼和配置文件。
該漏洞還允許將其他文件導入到應用程序代碼中, 這使得 組織代碼執行 如果應用程序允許將文件上載到服務器,則在服務器上顯示。
例如, 網站應用程序是否允許用戶上傳文件, 攻擊者可以指控 第一 包含JSP腳本代碼的文件 在服務器上具有惡意(上傳的文件本身可以是任何類型的文件,例如圖像,純文本文件等) 然後利用此漏洞包含上傳的文件 來自Ghostcat,最終可能導致遠程執行代碼。
還提到如果可以使用AJP驅動程序將請求發送到網絡端口,則可以執行攻擊。 根據初步數據,發現網絡 超過1.2萬台主機使用AJP協議接受請求。
該漏洞存在於AJP協議中 它不是由實現錯誤引起的。
除了接受HTTP連接 (默認為8080端口)在Apache Tomcat中 可以訪問 到網絡應用程序 使用AJP協議 (Apache Jserv協議,端口8009),這是HTTP的二進制類似物,已針對更高的性能進行了優化,通常在從Tomcat服務器創建集群或在反向代理或負載平衡器上加快與Tomcat的交互時使用。
AJP提供了訪問服務器上文件的標準功能,可以使用,包括接收不公開的文件。
據了解,獲得 AJP僅向受信任的僕人開放但實際上,在默認的Tomcat配置中,驅動程序在所有網絡接口上啟動,並且未經身份驗證即接受了請求。
可以訪問Web應用程序中的任何文件,包括WEB-INF,META-INF的內容以及通過ServletContext.getResourceAsStream()調用返回的任何其他目錄。 AJP還允許您將Web應用程序可用目錄中的任何文件用作JSP腳本。
自從6年前發布Tomcat 13.x分支以來,該問題就很明顯了。。 除了Tomcat本人之外, 該問題還會影響使用它的產品,例如Red Hat JBoss Web服務器(JWS),JBoss企業應用程序平台(EAP)以及使用Spring Boot的獨立Web應用程序。
還 發現了類似的漏洞 (CVE-2020-1745) 在Undertow Web服務器上 在Wildfly應用程序服務器中使用。 當前,各個小組已經準備了十多個利用實例。
Apache Tomcat已正式發布版本9.0.31、8.5.51和7.0.100 更正此漏洞。 正確糾正此漏洞,必須首先確定服務器環境中是否使用了Tomcat AJP Connector服務:
- 如果未使用群集或反向代理,則基本上可以確定未使用AJP。
- 如果不是,則需要確定群集或反向服務器是否正在與Tomcat AJP Connect服務通信。
還提到 現在,這些更新可在不同的Linux發行版中找到。 像:Debian,Ubuntu,RHEL,Fedora,SUSE。
解決方法是,如果不需要,可以禁用Tomcat AJP連接器服務(將偵聽套接字綁定到localhost或使用連接器端口=»8009”註釋掉該行),或配置經過身份驗證的訪問。
如果您想了解更多信息,可以諮詢 以下鏈接。