Çinin “Chaitin Tech” şirkətinin tədqiqatçıları aşkar ediblər () içində , Java Servlet, JavaServer Pages, Java Expression Language və Java WebSocket texnologiyalarının açıq tətbiqi. Zəifliyə Ghostcat kod adı və kritik şiddət səviyyəsi (9.8 CVSS) təyin edilib. Problem, standart konfiqurasiyada, 8009 şəbəkə portuna sorğu göndərməklə, parametrlər və proqram mənbə kodları olan fayllar da daxil olmaqla, veb proqram kataloqundan istənilən faylın məzmununu oxumağa imkan verir.
Zəiflik həmçinin digər faylları proqram koduna idxal etməyə imkan verir ki, bu da proqram faylların serverə yüklənməsinə icazə verərsə serverdə kodun icrasına imkan verir (məsələn, təcavüzkar JSP skriptini şəkil kimi gizlədilmiş yükləyə bilər. şəkil yükləmə forması). Hücum, AJP işləyicisi ilə şəbəkə portuna sorğu göndərmək mümkün olduqda həyata keçirilə bilər. İlkin məlumatlara görə, onlayn AJP protokolu vasitəsilə sorğuları qəbul edən 1.2 milyondan çox host.
Zəiflik AJP protokolunda mövcuddur və icrasında səhv. HTTP (port 8080) vasitəsilə bağlantıları qəbul etməklə yanaşı, Apache Tomcat defolt olaraq AJP protokolu vasitəsilə veb proqrama daxil olmaq imkanı verir., port 8009), daha yüksək performans üçün optimallaşdırılmış HTTP ikili analoqudur, adətən Tomcat serverlərinin klasterini yaratarkən və ya əks proxy və ya yük balanslayıcısında Tomcat ilə qarşılıqlı əlaqəni sürətləndirmək üçün istifadə olunur.
AJP serverdəki fayllara daxil olmaq üçün standart funksiya təqdim edir, bu funksiyadan istifadə oluna bilər, o cümlədən açıqlanmayan faylların əldə edilməsi. AJP yalnız etibarlı serverlər üçün əlçatan olmalıdır, lakin əslində Tomcat-ın standart konfiqurasiyası idarəedicini bütün şəbəkə interfeyslərində işlətdi və autentifikasiya olmadan qəbul edilən sorğular. İstənilən veb proqram fayllarına, o cümlədən WEB-INF, META-INF və ServletContext.getResourceAsStream() ünvanına zəng vasitəsilə təqdim edilən hər hansı digər kataloqların məzmununa giriş mümkündür. AJP həmçinin sizə JSP skripti kimi veb tətbiqi üçün əlçatan olan kataloqlardakı istənilən fayldan istifadə etməyə imkan verir.
Problem 13 il əvvəl buraxılan Tomcat 6.x filialından bəri ortaya çıxır. Tomcat probleminin özü ilə yanaşı və ondan istifadə edən məhsullar, məsələn, Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), həmçinin istifadə edən müstəqil veb proqramlar . Oxşar zəiflik (CVE-2020-1745) veb serverdə , Wildfly proqram serverində istifadə olunur. JBoss və Wildfly-də AJP defolt olaraq yalnız domain.xml-də müstəqil-full-ha.xml, bağımsız-ha.xml və ha/full-ha profillərində aktivləşdirilir. Spring Boot-da AJP dəstəyi standart olaraq qeyri-aktivdir. Hal-hazırda müxtəlif qruplar istismarın ondan çox iş nümunəsi hazırlamışdır (
,
,
,
,
,
,
,
,
,
,
).
Boşluq Tomcat buraxılışlarında düzəldildi , и (6.x filialına qulluq ). Dağıtım dəstlərindəki yeniləmələrin mövcudluğunu bu səhifələrdə izləyə bilərsiniz: , , , , , . Həll yolu kimi, ehtiyac olmadıqda Tomcat AJP Connector xidmətini söndürə bilərsiniz (dinləmə yuvasını localhost-a bağlayın və ya Konnektor portu = "8009" ilə xətti şərh edin) və ya xidmət mod_jk və mod_proxy_ajp (mod_cluster autentifikasiyanı dəstəkləmir) əsasında digər serverlər və proksilərlə qarşılıqlı əlaqə yaratmaq üçün istifadə olunarsa, "gizli" və "ünvan" atributlarından istifadə edərək təsdiqlənmiş giriş.
Mənbə: opennet.ru