Vísindamenn frá kínverska fyrirtækinu Chaitin Tech hafa uppgötvað () í , opin útfærsla á Java Servlet, JavaServer Pages, Java Expression Language og Java WebSocket tækni. Varnarleysinu hefur verið úthlutað kóðaheitinu Ghostcat og mikilvægu alvarleikastigi (9.8 CVSS). Vandamálið gerir, í sjálfgefna stillingu, með því að senda beiðni á netgátt 8009, til að lesa innihald allra skráa úr vefforritaskránni, þar á meðal skrár með stillingum og frumkóða forrita.
Varnarleysið gerir einnig mögulegt að flytja inn aðrar skrár inn í forritakóðann, sem gerir kleift að keyra kóða á þjóninum ef forritið leyfir að skrám sé hlaðið upp á netþjóninn (t.d. getur árásarmaður hlaðið upp JSP skriftu dulbúið sem mynd í gegnum myndupphleðslueyðublaðið). Árásina er hægt að framkvæma þegar hægt er að senda beiðni til netgáttar með AJP meðhöndlun. Samkvæmt bráðabirgðagögnum, á netinu meira en 1.2 milljónir gestgjafa samþykkja beiðnir í gegnum AJP samskiptareglur.
Varnarleysið er til í AJP samskiptareglunum, og mistök í framkvæmd. Auk þess að samþykkja tengingar í gegnum HTTP (gátt 8080), leyfir Apache Tomcat sjálfgefið aðgang að vefforriti í gegnum AJP samskiptareglur (, port 8009), sem er tvöfaldur hliðstæða HTTP fínstilltur fyrir meiri afköst, venjulega notuð þegar þú býrð til þyrping af Tomcat netþjónum eða til að flýta fyrir samskiptum við Tomcat á öfugri umboði eða álagsjafnvægi.
AJP býður upp á staðlaða aðgerð til að fá aðgang að skrám á þjóninum, sem hægt er að nota, þar á meðal að fá skrár sem eru ekki háðar birtingu. AJP á aðeins að vera aðgengilegt traustum netþjónum, en í raun keyrði sjálfgefna stillingar Tomcat stjórnandann á öllum netviðmótum og samþykktu beiðnir án auðkenningar. Aðgangur er mögulegur að hvaða vefforritsskrám sem er, þar á meðal innihald WEB-INF, META-INF og hvers kyns öðrum möppum sem veittar eru með símtali til ServletContext.getResourceAsStream(). AJP gerir þér einnig kleift að nota hvaða skrá sem er í möppum sem eru aðgengilegar fyrir vefforritið sem JSP forskrift.
Vandamálið hefur verið að birtast síðan Tomcat 13.x útibúið kom út fyrir 6 árum. Til viðbótar við Tomcat vandamálið sjálft og vörur sem nota það, eins og Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), sem og sjálfstætt vefforrit sem nota . Svipuð varnarleysi (CVE-2020-1745) í vefþjóninum , notað í Wildfly forritaþjóninum. Í JBoss og Wildfly er AJP sjálfgefið aðeins virkt í standalone-full-ha.xml, standalone-ha.xml og ha/full-ha snið í domain.xml. Í Spring Boot er AJP stuðningur sjálfgefið óvirkur. Eins og er hafa mismunandi hópar undirbúið meira en tugi starfandi dæma um hetjudáð (
,
,
,
,
,
,
,
,
,
,
).
Varnarleysi lagað í Tomcat útgáfum , и (viðhald 6.x útibúsins ). Þú getur fylgst með framboði á uppfærslum í dreifingarsettum á þessum síðum: , , , , , . Sem lausn geturðu slökkt á Tomcat AJP Connector þjónustunni (tengt hlustunarinnstungu við localhost eða skrifað athugasemdir við línuna með Connector tengi = "8009") ef þess er ekki þörf, eða sannvottaður aðgangur með því að nota „leyndarmál“ og „address“ eiginleika, ef þjónustan er notuð til að hafa samskipti við aðra netþjóna og umboð byggða á mod_jk og mod_proxy_ajp (mod_cluster styður ekki auðkenningu).
Heimild: opennet.ru