Apache Tomcat-এ দুর্বলতা যা JSP কোড প্রতিস্থাপন এবং ওয়েব অ্যাপ্লিকেশন ফাইল পাওয়ার অনুমতি দেয়

চীনা কোম্পানি Chaitin Tech এর গবেষকরা আবিষ্কার করেছেন দুর্বলতা (জন্য CVE-2020-1938) ইন আপা টমক্যাট, Java Servlet, JavaServer Pages, Java Expression Language এবং Java WebSocket প্রযুক্তির একটি উন্মুক্ত বাস্তবায়ন। দুর্বলতার কোড নাম ঘোস্টক্যাট এবং একটি গুরুতর তীব্রতা স্তর (9.8 CVSS) বরাদ্দ করা হয়েছে। সমস্যাটি ডিফল্ট কনফিগারেশনে, নেটওয়ার্ক পোর্ট 8009-এ একটি অনুরোধ পাঠিয়ে, সেটিংস এবং অ্যাপ্লিকেশন সোর্স কোড সহ ফাইলগুলি সহ ওয়েব অ্যাপ্লিকেশন ডিরেক্টরি থেকে যেকোনো ফাইলের বিষয়বস্তু পড়ার অনুমতি দেয়।

দুর্বলতাটি অ্যাপ্লিকেশন কোডে অন্যান্য ফাইল আমদানি করাও সম্ভব করে তোলে, যা সার্ভারে কোড কার্যকর করার অনুমতি দেয় যদি অ্যাপ্লিকেশনটি সার্ভারে ফাইল আপলোড করার অনুমতি দেয় (উদাহরণস্বরূপ, একজন আক্রমণকারী একটি JSP স্ক্রিপ্ট আপলোড করতে পারে একটি চিত্র হিসাবে ছদ্মবেশে ছবি আপলোড ফর্ম)। একটি AJP হ্যান্ডলার সহ একটি নেটওয়ার্ক পোর্টে একটি অনুরোধ পাঠানো সম্ভব হলে আক্রমণটি করা যেতে পারে। প্রাথমিক তথ্য অনুযায়ী, অনলাইন পাওয়া গেছে 1.2 মিলিয়নেরও বেশি হোস্ট AJP প্রোটোকলের মাধ্যমে অনুরোধ গ্রহণ করছে।

দুর্বলতা AJP প্রোটোকলের মধ্যে বিদ্যমান, এবং বলা হয় না বাস্তবায়নে ত্রুটি। HTTP (পোর্ট 8080) এর মাধ্যমে সংযোগ গ্রহণ করার পাশাপাশি, ডিফল্টরূপে Apache Tomcat AJP প্রোটোকলের মাধ্যমে একটি ওয়েব অ্যাপ্লিকেশনে অ্যাক্সেসের অনুমতি দেয় (Apache Jserv Protocol, পোর্ট 8009), যা উচ্চতর কর্মক্ষমতার জন্য অপ্টিমাইজ করা HTTP-এর একটি বাইনারি অ্যানালগ, সাধারণত টমক্যাট সার্ভারের একটি ক্লাস্টার তৈরি করার সময় বা বিপরীত প্রক্সি বা লোড ব্যালেন্সারে টমক্যাটের সাথে মিথস্ক্রিয়া দ্রুত করতে ব্যবহৃত হয়।

AJP সার্ভারে ফাইল অ্যাক্সেস করার জন্য একটি স্ট্যান্ডার্ড ফাংশন প্রদান করে, যা ব্যবহার করা যেতে পারে, এমন ফাইলগুলি প্রাপ্ত করা যা প্রকাশের বিষয় নয়। AJP শুধুমাত্র বিশ্বস্ত সার্ভারগুলিতে অ্যাক্সেসযোগ্য বলে মনে করা হয়, কিন্তু আসলে টমক্যাটের ডিফল্ট কনফিগারেশন হ্যান্ডলারকে সমস্ত নেটওয়ার্ক ইন্টারফেসে চালায় এবং প্রমাণীকরণ ছাড়াই অনুরোধগুলি গ্রহণ করে। WEB-INF, META-INF এবং ServletContext.getResourceAsStream() এ কলের মাধ্যমে প্রদত্ত অন্য যেকোন ডিরেক্টরির বিষয়বস্তু সহ যেকোন ওয়েব অ্যাপ্লিকেশন ফাইলে অ্যাক্সেস করা সম্ভব। AJP আপনাকে JSP স্ক্রিপ্ট হিসাবে ওয়েব অ্যাপ্লিকেশনে অ্যাক্সেসযোগ্য ডিরেক্টরিতে যেকোনো ফাইল ব্যবহার করার অনুমতি দেয়।

13 বছর আগে প্রকাশিত Tomcat 6.x শাখার পর থেকে সমস্যাটি দেখা দিয়েছে। টমক্যাট বাদে নিজেই একটি সমস্যা প্রভাবিত করে এবং যে পণ্যগুলি এটি ব্যবহার করে, যেমন Red Hat JBoss ওয়েব সার্ভার (JWS), JBoss এন্টারপ্রাইজ অ্যাপ্লিকেশন প্ল্যাটফর্ম (EAP), সেইসাথে স্বয়ংসম্পূর্ণ ওয়েব অ্যাপ্লিকেশন যা ব্যবহার করে বসন্ত বুট. অনুরূপ দুর্বলতা (CVE-2020-1745) উপস্থিত ওয়েব সার্ভারে Undertow, Wildfly অ্যাপ্লিকেশন সার্ভারে ব্যবহৃত। JBoss এবং Wildfly-এ, AJP শুধুমাত্র domain.xml-এ standalone-full-ha.xml, standalone-ha.xml এবং ha/full-ha প্রোফাইলে ডিফল্টরূপে সক্রিয় থাকে। স্প্রিং বুটে, AJP সমর্থন ডিফল্টরূপে অক্ষম করা হয়। বর্তমানে, বিভিন্ন গোষ্ঠী শোষণের এক ডজনেরও বেশি কাজের উদাহরণ প্রস্তুত করেছে (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

টমক্যাট রিলিজে দুর্বলতা সংশোধন করা হয়েছে 9.0.31, 8.5.51 и 7.0.100 (6.x শাখার রক্ষণাবেক্ষণ সমাপ্ত) আপনি এই পৃষ্ঠাগুলিতে বিতরণ কিটগুলিতে আপডেটের উপলব্ধতা ট্র্যাক করতে পারেন: ডেবিয়ান, উবুন্টু, RHEL, ফেডোরা, SUSE, FreeBSD 'র. একটি সমাধান হিসাবে, আপনি Tomcat AJP সংযোগকারী পরিষেবাটি নিষ্ক্রিয় করতে পারেন (স্থানীয় হোস্টের সাথে একটি শোনার সকেট বাঁধুন বা সংযোগকারী পোর্ট = "8009" দিয়ে লাইনটি মন্তব্য করুন) যদি এটির প্রয়োজন না হয়, অথবা সুর "গোপন" এবং "ঠিকানা" বৈশিষ্ট্যগুলি ব্যবহার করে প্রমাণীকৃত অ্যাক্সেস, যদি পরিষেবাটি mod_jk এবং mod_proxy_ajp (mod_cluster প্রমাণীকরণ সমর্থন করে না) ভিত্তিক অন্যান্য সার্ভার এবং প্রক্সিগুলির সাথে ইন্টারঅ্যাক্ট করতে ব্যবহৃত হয়।

উত্স: opennet.ru