ืืืงืจืื ืืืืืจื ืืกืื ืืช Chaitin Tech ืืืื ืคืืืขืืช (CVE-2020-1938) ื ืืคืืฆ 'ื ืืืืื, ืืืืืฉ ืงืื ืคืชืื ืฉื Java Servlet, JavaServer Pages, Java Expression Language ืืืื ืืืืืืืช Java WebSocket. ืืคืืืขืืช ืงืืืื ืืช ืฉื ืืงืื Ghostcat ืืจืืช ืืืืจื ืงืจืืืืช (9.8 CVSS). ืืืขืื ืืืคืฉืจืช, ืืชืฆืืจืช ืืจืืจืช ืืืืื, ืขื ืืื ืฉืืืืช ืืงืฉื ืืืฆืืืช ืจืฉืช 8009, ืืงืจืื ืืช ืืชืืื ืฉื ืื ืงืืฆืื ืืกืคืจืืืช ืืืฉืืื ืืืื ืืจื ื, ืืืื ืงืืฆืื ืขื ืืืืจืืช ืืงืืื ืืงืืจ ืฉื ืืืฉืืืื.
ืืคืืืขืืช ืืืคืฉืจืช ืื ืืืืื ืงืืฆืื ืืืจืื ืืงืื ืืืคืืืงืฆืื, ืื ืฉืืืคืฉืจ ืืืจืื ืืืฆืืข ืงืื ืืฉืจืช ืื ืืืคืืืงืฆืื ืืืคืฉืจืช ืืขืืืช ืงืืฆืื ืืฉืจืช (ืืืืืื, ืชืืงืฃ ืืืื ืืืขืืืช ืกืงืจืืคื JSP ืืืกืืื ืฉื ืชืืื ื ืืจื ืืืคืก ืืขืืืช ืืชืืื ื). ื ืืชื ืืืฆืข ืืชืงืคื ืขื ืืื ืฉืืืืช ืืงืฉื ืืืฆืืืช ืจืฉืช ืขื ืืืคื AJP. ืืคื ื ืชืื ืื ืจืืฉืื ืืื, ืืืื ืืจื ื ืืฆืืชื ืืืชืจ ื-1.2 ืืืืืื ืืืจืืื ืฉืืงืืืื ืืงืฉืืช ืืืืฆืขืืช ืคืจืืืืงืื AJP.
ืืคืืืขืืช ืงืืืืช ืืคืจืืืืงืื AJP, ื ืื ื ืงืจื ืฉืืืืช ืืืฉืื. ืื ืืกืฃ ืืงืืืช ืืืืืจืื ืืืืฆืขืืช HTTP (ืืฆืืื 8080), Apache Tomcat ืืืจืืจืช ืืืื ืืืคืฉืจืช ืืืฉื ืืืืฉืื ืืื ืืจื ื ืืืืฆืขืืช ืคืจืืืืงืื AJP (ืคืจืืืืงืื Apache JServ, ืืฆืืื 8009), ืฉืืื ืืงืืืื ืืื ืืจืืช ืืืชืืืช ืืืืฆืืขืื ืฉื HTTP, ืืืฉืืฉืช ืืืจื ืืื ืืขืช ืืฆืืจืช ืืฉืืื ืฉื ืฉืจืชื Tomcat ืื ืืื ืืืืืฅ ืืช ืืชืงืฉืืจืช ืขื Tomcat ืืคืจืืงืกื ืืคืื ืื ืืืื ืขืืืกืื.
AJP ืืกืคืงืช ืคืื ืงืฆืื ืกืื ืืจืืืช ืืืืฉื ืืงืืฆืื ืืฉืจืช, ืื ื ืืชื ืืืฉืชืืฉ, ืืจืืืช ืืฉืืช ืงืืฆืื ืฉืืื ื ื ืชืื ืื ืืืฉืืคื. AJP ืืืืจื ืืืืืช ื ืืืฉื ืจืง ืืฉืจืชืื ืืืืื ืื, ืื ืืืขืฉื ืชืฆืืจืช ืืจืืจืช ืืืืื ืฉื Tomcat ืืืืชื ืืืคืขืื ืืช ืืืืคื ืืื ืืืฉืงื ืืจืฉืช ืืืงืื ืืงืฉืืช ืืื ืืืืืช. ืืืฉื ืืคืฉืจืืช ืืื ืงืืฆื ืืืฉืื ืืื ืืจื ื, ืืืื ืืชืืื ืฉื WEB-INF, META-INF ืืื ืกืคืจืืื ืืืจืช ืฉื ืืชื ื ืืืืฆืขืืช ืืงืจืืื ServletContext.getResourceAsStream() . AJP ืื ืืืคืฉืจ ืื ืืืฉืชืืฉ ืืื ืงืืืฅ ืืกืคืจืืืช ืื ืืืฉืืช ืฉื ืืืฉืื ืืืื ืืจื ื ืืกืงืจืืคื JSP.
ืืืขืื ืืื ืืืื ืืืืื ืืื ืืขื ืฃ ืฉื Tomcat 13.x ืฉืืฆื ืืคื ื 6 ืฉื ืื. ืืืฅ ืืืขืืืช Tomcat ืืฉืืจืืช ืืฉืคืืข ืืืืฆืจืื ืืืฉืชืืฉืื ืื, ืืืื Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), ืืื ืืืฉืืื ืืื ืืจื ื ืขืฆืืืืื ืืืฉืชืืฉืื ืืืฃ ืืืื. ืคืืืขืืช ืืืื (CVE-2020-1745) ืืืื ืืฉืจืช ืืืื ืืจื ื ืึถืจึถื ืชึทืืชึดืืืฉืืืืฉ ืืฉืจืช ืืืืฉืืืื Wildfly. ื-JBoss ืื-Wildfly, ืคืจืืืืงืื AJP ืืืคืขื ืืืจืืจืช ืืืื ืจืง ืืคืจืืคืืืื standalone-full-ha.xml, ืขืฆืืื-ha.xml ื-ha/full-ha ื-domain.xml. ื-Spring Boot, ืชืืืืช AJP ืืืฉืืชืช ืืืจืืจืช ืืืื. ืืืชืจ ืืชืจืืกืจ ืืืืืืืช ืขืืืื ืฉื ืืขืืืื ืืืื ื ืขื ืืื ืงืืืฆืืช ืฉืื ืืช (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).
ืคืืืขืืช ืชืืงื ื ืืืืืืจืืช ืฉื Tomcat 9.0.31, 8.5.51 ะธ 7.0.100 (ืขื ืฃ ืชืืืืงื 6.x ืืืคืกืง). ืืชื ืืืื ืืขืงืื ืืืจ ืืืคืขืช ืืขืืืื ืื ืืืคืฆืืช ืืืคืื ืืื: ืืืืื, ืืืืื ืื, ืจืื, ืคืืืจื, SUSE, FreeBSD. ืืืจื ืืขืงืืคืช ืืืขืื, ืืชื ืืืื ืืืฉืืืช ืืช ืฉืืจืืช Tomcat AJP Connector (ืืืื ืืช ืฉืงืข ืืืืื ื ื-localhost ืื ืืืขืืจ ืืช ืืงื ืขื ืืฆืืืช Connector = "8009") ืื ืืื ืฆืืจื, ืื ืืืืืืจ ืืืฉื ืืืืืชืช ืืืืฆืขืืช ืืืืคืืื ืื "ืกืืื" ื"ืืชืืืช", ืื ืืฉืืจืืช ืืฉืืฉ ืืืื ืืจืืงืฆืื ืขื ืฉืจืชืื ืืคืจืืงืกื ืืืจืื ืืืืืกืกืื ืขื mod_jk ื-mod_proxy_ajp (mod_cluster ืืื ื ืชืืื ืืืืืืช).
ืืงืืจ: OpenNet.ru