Fuerscher vun der chinesescher Firma Chaitin Tech hunn entdeckt () an , eng oppe Implementatioun vu Java Servlet, JavaServer Pages, Java Expression Language an Java WebSocket Technologien. Der Schwachstelle gouf de Code Numm Ghostcat an e kriteschen Gravitéit Niveau (9.8 CVSS) zougewisen. De Problem erlaabt, an der Standardkonfiguratioun, andeems Dir eng Ufro um Netzhafen 8009 schéckt, den Inhalt vun all Dateien aus dem Webapplikatiounsverzeechnes ze liesen, och Dateie mat Astellungen an Applikatiounsquellcodes.
D'Schwachheet mécht et och méiglech aner Dateien an den Applikatiounscode z'importéieren, wat et erlaabt d'Code-Ausféierung um Server wann d'Applikatioun erlaabt Dateien op de Server eropzelueden (zum Beispill kann en Ugräifer e JSP-Skript eropluede, deen als Bild verkleed ass duerch Bild eropluede Form). D'Attack kann duerchgefouert ginn wann et méiglech ass eng Ufro un engem Netz port mat engem AJP Handler ze schécken. No virleefeg Donnéeën, online méi wéi 1.2 Millioune Hosten déi Ufroe iwwer den AJP Protokoll akzeptéieren.
D'Schwachheet existéiert am AJP Protokoll, an Feeler an der Ëmsetzung. Zousätzlech fir Verbindungen iwwer HTTP ze akzeptéieren (Port 8080), erlaabt Apache Tomcat als Standard Zougang zu enger Webapplikatioun iwwer den AJP Protokoll (, Port 8009), deen e binäre Analog vun HTTP ass optimiséiert fir méi héich Leeschtung, normalerweis benotzt wann e Cluster vun Tomcat Server erstallt gëtt oder fir d'Interaktioun mat Tomcat op engem Reverse Proxy oder Loadbalancer ze beschleunegen.
AJP bitt eng Standardfunktioun fir Zougang zu Dateien um Server ze kréien, déi benotzt kënne ginn, dorënner d'Erhalen vun Dateien déi net op d'Verëffentlechung ënnerleien. AJP soll nëmme fir vertrauenswürdege Server zougänglech sinn, awer tatsächlech huet dem Tomcat seng Standardkonfiguratioun den Handler op all Netzwierkschnëttplazen ausgefouert an Ufroen ouni Authentifikatioun akzeptéiert. Zougang ass méiglech op all Webapplikatiounsdateien, dorënner den Inhalt vu WEB-INF, META-INF an all aner Verzeichnisser, déi duerch en Opruff un ServletContext.getResourceAsStream () geliwwert ginn. AJP erlaabt Iech och all Datei an Verzeichnisser ze benotzen, déi fir d'Webapplikatioun zougänglech sinn als JSP Skript.
De Problem ass zënter dem Tomcat 13.x Branche erschéngt virun 6 Joer. Nieft dem Tomcat Problem selwer a Produkter déi et benotzen, wéi Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), souwéi selbstänneg Webapplikatiounen déi benotzen . Ähnlech Schwachstelle (CVE-2020-1745) am Webserver , am Wildfly Applikatiounsserver benotzt. A JBoss a Wildfly ass AJP als Standard nëmmen a Standalone-full-ha.xml, Standalone-ha.xml an ha/full-ha Profiler am Domain.xml aktivéiert. Am Fréijoer Boot ass AJP Support par défaut deaktivéiert. De Moment hu verschidde Gruppen méi wéi eng Dosen Aarbechtsbeispiller vun Ausnotzen virbereet (
,
,
,
,
,
,
,
,
,
,
).
Vulnerabilitéit fixéiert an Tomcat Verëffentlechungen , и (Entretien vun der 6.x Branche ). Dir kënnt d'Disponibilitéit vun Updates a Verdeelungskits op dëse Säiten verfollegen: , , , , , . Als Léisung kënnt Dir den Tomcat AJP Connector Service auszeschalten (eng Nolauschtersocket un localhost verbannen oder d'Linn mat Connector Port = "8009 kommentéieren") wann et net néideg ass, oder authentifizéiert Zougang mat den Attributer "geheim" an "Adress", wann de Service benotzt gëtt fir mat anere Serveren a Proxyen ze interagéieren baséiert op mod_jk a mod_proxy_ajp (mod_cluster ënnerstëtzt keng Authentifikatioun).
Source: opennet.ru