เบเบฑเบเบเบปเปเบเบเบงเปเบฒเบเบฒเบเบเปเบฅเบดเบชเบฑเบ Chaitin Tech เบเบญเบเบเบตเบเปเบเปเบเบปเปเบเบเบปเบ เบเบงเบฒเบกเบญเปเบญเบเปเบญ (CVE-2020-1938) เบเบตเป tomcat Apache, เบเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเบเปเบเบตเบเบเบญเบ Java Servlet, JavaServer Pages, Java Expression Language เปเบฅเบฐ Java WebSocket technologies. เบเปเบญเบเปเบซเบงเปเปเบเปเบเบทเบเบกเบญเบเบซเบกเบฒเบเบเบทเปเบฅเบฐเบซเบฑเบ Ghostcat เปเบฅเบฐเบฅเบฐเบเบฑเบเบเบงเบฒเบกเบฎเบธเบเปเบฎเบเบเบตเปเบชเปเบฒเบเบฑเบ (9.8 CVSS). เบเบฑเบเบซเบฒเบเบฑเปเบเบเปเบฒเบงเบญเบฐเบเบธเบเบฒเบเปเบซเป, เปเบเบเบฒเบเบเบฑเปเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ, เปเบเบเบเบฒเบเบชเบปเปเบเบเปเบฒเบฎเปเบญเบเบเปเบเปเบฝเบงเบเบฑเบเบเบญเบเปเบเบทเบญเบเปเบฒเบ 8009, เปเบเบทเปเบญเบญเปเบฒเบเปเบเบทเปเบญเบซเบฒเบเบญเบเปเบเบฅเปเปเบเปเบเบฒเบเปเบเปเบฅเบเบฐเบเปเบฅเบตเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเปเบงเบฑเบ, เบฅเบงเบกเบเบฑเบเปเบเบฅเปเบเบตเปเบกเบตเบเบฒเบเบเบฑเปเบเบเปเบฒเปเบฅเบฐเบฅเบฐเบซเบฑเบเปเบซเบผเปเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบ.
เบเปเบญเบเปเบซเบงเปเบเบฑเบเปเบฎเบฑเบเปเบซเปเบกเบฑเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเบปเปเบฒเปเบเบฅเปเบญเบทเปเบเปเปเบเบปเปเบฒเปเบเปเบเบฅเบฐเบซเบฑเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบ, เปเบเบดเปเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเบฐเบเบดเบเบฑเบเบฅเบฐเบซเบฑเบเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเปเบฒเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบญเบฑเบเปเบซเบฅเบเปเบเบฅเปเปเบเบซเบฒเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ (เบเบปเบงเบขเปเบฒเบเปเบเบฑเปเบ, เบเบนเปเปเบเบกเบเบตเบชเบฒเบกเบฒเบเบญเบฑเบเปเบซเบฅเบ JSP script เบเบญเบกเปเบเบฑเบเบฎเบนเบเบเบฒเบเบเปเบฒเบ. เบฎเบนเบโเปเบเบโเบเบฒเบโเบญเบฑเบโเปเบซเบผเบโเบฎเบนเบโเบเบฒเบโ)โ. เบเบฒเบเปเบเบกเบเบตเบชเบฒเบกเบฒเบเบเบฐเบเบดเบเบฑเบเปเบเปเปเบเปเบงเบฅเบฒเบเบตเปเบชเบฒเบกเบฒเบเบชเบปเปเบเบเปเบฒเบฎเปเบญเบเบเปเปเบเบเบฑเบเบเบญเบเปเบเบทเบญเบเปเบฒเบเบเบตเปเบกเบตเบเบปเบงเบเบฑเบเบเบฒเบ AJP. เบญเบตเบเบเบฒเบกเบเปเปเบกเบนเบเปเบเบทเปเบญเบเบเบปเปเบ, เบญเบญเบเปเบฅเบเป เบเบปเบ เบซเบผเบฒเบเบเบงเปเบฒ 1.2 เบฅเปเบฒเบเปเบเบปเปเบฒเบเบฒเบเบเบตเปเบเบญเบกเบฎเบฑเบเบเบฒเบเบฎเปเบญเบเบเปเบเปเบฒเบเปเบเปเบเบเบญเบ AJP.
เบเปเบญเบเปเบซเบงเปเบกเบตเบขเบนเปเปเบเปเบเปเบเบเบญเบ AJP, เปเบฅเบฐ เบเปเปเปเบเปเปเบญเบตเปเบเบงเปเบฒ เบเบงเบฒเบกโเบเบดเบโเบเบฒเบโเปเบโเบเบฒเบโเบเบฐโเบเบดโเบเบฑเบโ. เบเบญเบเปเบซเบเบทเบญเบเบฒเบเบเบฒเบเบเบญเบกเบฎเบฑเบเบเบฒเบเปเบเบทเปเบญเบกเบเปเปเบเปเบฒเบ HTTP (เบเบญเบ 8080), Apache Tomcat เปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเปเบเบปเปเบฒเปเบเบดเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเปเบงเบฑเบเบเปเบฒเบเปเบเปเบเบเบญเบ AJP (Apache Jserv Protocol, port 8009), เปเบเบดเปเบเปเบเบฑเบ analogue binary เบเบญเบ HTTP เบเบตเปเบเบทเบเบเบฑเบเบเบธเบเปเบซเปเบเบตเบเบถเปเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเบเบฐเบเบดเบเบฑเบเบเบตเปเบชเบนเบเบเบถเปเบ, เบเบปเบเบเบฐเบเบดเปเบฅเปเบงเปเบเปเปเบเปเบงเบฅเบฒเบเบตเปเบชเปเบฒเบ cluster เบเบญเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ Tomcat เบซเบผเบทเปเบเบทเปเบญเปเบฅเบฑเปเบเบเบฒเบเปเบเปเบเบญเบเบเบฑเบ Tomcat เปเบ proxy reverse เบซเบผเบท load balancer.
AJP เบชเบฐเบซเบเบญเบเบซเบเปเบฒเบเบตเปเบกเบฒเบเบเบฐเบเบฒเบเบชเปเบฒเบฅเบฑเบเบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเบฅเปเปเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบ, เปเบเบดเปเบเบชเบฒเบกเบฒเบเบเปเบฒเปเบเปเปเบเป, เบฅเบงเบกเบเบฑเบเบเบฒเบเปเบเปเบฎเบฑเบเปเบเบฅเปเบเบตเปเบเปเปเบเบถเปเบเบเบฑเบเบเบฒเบเปเบเบตเบเปเบเบตเบ. AJP เบเบงเบเบเบฐเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบเปเบเบฑเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเบเบตเปเปเบเบทเปเบญเบเบทเปเบเปเปเบเบปเปเบฒเบเบฑเปเบ, เปเบเปเบเบงเบฒเบกเบเบดเบเปเบฅเปเบงเบเบฒเบเบเบฑเปเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเบเบญเบ Tomcat เปเบฅเปเบเบเบปเบงเบเบฑเบเบเบฒเบเปเบเบเบธเบเบเบฒเบเปเบเปเบเบญเบเบเบญเบเปเบเบทเบญเบเปเบฒเบเปเบฅเบฐเบเบฒเบเบฎเปเบญเบเบเปเบเบตเปเบเบญเบกเบฎเบฑเบเปเบเบเบเปเปเบกเบตเบเบฒเบเบขเบทเบเบขเบฑเบ. เปเบเบปเปเบฒเปเบเบดเบเปเบเบฅเปเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเปเบงเบฑเบเบเปเบฒเบเป, เบฅเบงเบกเบเบฑเบเปเบเบทเปเบญเปเบเบเบญเบ WEB-INF, META-INF เปเบฅเบฐเปเบเปเบฅเบเบฐเบเปเบฅเบตเบญเบทเปเบเปเบเบตเปเบชเบฐเปเบญเบเปเบซเปเบเปเบฒเบเบเบฒเบเปเบเบซเบฒ ServletContext.getResourceAsStream(). AJP เบเบฑเบเบญเบฐเบเบธเบเบฒเบเปเบซเปเบเปเบฒเบเปเบเปเปเบเบฅเปเปเบเปเปเบเปเบเปเบฅเบเบฐเบเปเบฅเบตเบเบตเปเบชเบฒเบกเบฒเบเปเบเบปเปเบฒเปเบเบดเบเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบเปเบงเบฑเบเปเบเบฑเบ JSP script.
เบเบฑเบเบซเบฒเปเบเปเบเบฐเบเบปเบเบเบถเปเบเบเบฑเบเบเบฑเปเบเปเบเปเบชเบฒเบเบฒ Tomcat 13.x เบเปเบญเบเบญเบญเบเบกเบฒเปเบกเบทเปเบญ 6 เบเบตเบเปเบญเบ. เบเบปเบเปเบงเบฑเปเบ Tomcat เบเบปเบงเบเบญเบเบกเบฑเบเปเบญเบเปเบเบฑเบเบเบฑเบเบซเบฒ เบกเบตเบเบปเบเบเบฐเบเบปเบ เปเบฅเบฐเบเบฐเบฅเบดเบเบเบฐเบเบฑเบเบเบตเปเบเปเบฒเปเบเปเบกเบฑเบ, เปเบเบฑเปเบ Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), เปเบเบฑเปเบเบเบฝเบงเบเบฑเบเบเบฑเบเบเปเบฒเบฎเปเบญเบเบชเบฐเบซเบกเบฑเบเปเบงเบฑเบเปเบเบเปเบเบตเปเบเบฐเบเบญเบเบเปเบงเบเบเบปเบเปเบญเบเบเบตเปเปเบเป. เปเบเบตเบเปเบชเปเบเบฒเบเบฎเบฝเบ spring. เบเปเบญเบเปเบซเบงเปเบเบตเปเบเปเบฒเบเบเบทเบเบฑเบ (CVE-2020-1745) เบเบฐเบเบธเบเบฑเบ เปเบเปเบงเบฑเบเปเบเบตเบเปเบงเบต Undertow, เปเบเปเปเบเปเบเบตเบเปเบงเบตเปเบญเบฑเบเบเบฅเบดเปเบเบเบฑเบ Wildfly. เปเบ JBoss เปเบฅเบฐ Wildfly, AJP เบเบทเบเปเบเบตเบเปเบเปเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบเบเบฝเบเปเบเปเบขเบนเปเปเบเปเบเบฃเปเบเบฅเป standalone-full-ha.xml, standalone-ha.xml เปเบฅเบฐ ha/full-ha เปเบ domain.xml. เปเบ Spring Boot, เบเบฒเบเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบ AJP เปเบกเปเบเบเบทเบเบเบดเบเปเบเปเบเบฒเบเปเบเบเบเปเบฒเปเบฅเบตเปเบกเบเบปเปเบ. เบเบฐเบเบธโเบเบฑเบ, เบเบฑเบเบเบฒโเบเบธเปเบกโเบเปเบฒเบเปโเปเบเปโเบเบฐเบเบฝเบกโเบเบปเบงโเบขเปเบฒเบโเบเบตเปโเปเบฎเบฑเบโเบงเบฝเบโเบซเบผเบฒเบโเบเบงเปเบฒโเบชเบดเบโเบเบปเบโเบเปเบฝเบงโเบเบฑเบโเบเบฒเบโเบเบธเบโเบเบปเปเบ (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).
เบเปเบญเบเปเบซเบงเปเบเบทเบเปเบเปเปเบเปเบเบเบฒเบเบเปเบญเบ Tomcat 9.0.31, 8.5.51 ะธ 7.0.100 (เบเบฒเบเบเปเบฒเบฅเบธเบเบฎเบฑเบเบชเบฒเบชเบฒเบเบฒ 6.x เบขเบธเบเปเบเบปเบฒ). เบเปเบฒเบโเบชเบฒโเบกเบฒเบโเบเบดเบโเบเบฒเบกโเบเบฒเบโเบกเบตโเบเบญเบโเบเบฒเบโเบเบฑเบโเบเบธเบโเปเบโเบเบธเบโเบเบฒเบโเปเบเปโเบเบฐโเบเบฒเบโเบขเบนเปโเปเบโเบซเบเปเบฒโเปเบซเบผเบปเปเบฒโเบเบตเปโ: Debian, Ubuntu, RHEL, Fedora, เบเบนเบ, FreeBSD. เปเบเบฑเบเบเบฒเบเปเบเปเปเบเบเบฑเบเบซเบฒ, เบเปเบฒเบเบชเบฒเบกเบฒเบเบเบดเบเบเปเบฅเบดเบเบฒเบ Tomcat AJP Connector (เบเบนเบเบกเบฑเบเบเปเบญเบเบชเบฝเบเบเบฒเบเบเบฑเบเบเบฑเบ localhost เบซเบผเบทเบชเบฐเปเบเบเบเบงเบฒเบกเบเบดเบเปเบซเบฑเบเบญเบญเบเบชเบฒเบเบเปเบงเบ Connector port = "8009") เบเปเบฒเบกเบฑเบเบเปเปเบเปเบฒเปเบเบฑเบ, เบซเบผเบท เบเบเบฑ เบเบฒเบเปเบเบปเปเบฒเปเบเบดเบเบเบฒเบเบเบงเบเบชเบญเบเบเบงเบฒเบกเบเบทเบเบเปเบญเบเปเบเบเปเบเปเบเบธเบเบฅเบฑเบเบชเบฐเบเบฐ "เบเบงเบฒเบกเบฅเบฑเบ" เปเบฅเบฐ "เบเบตเปเบขเบนเป", เบเปเบฒเบเปเบฅเบดเบเบฒเบเบเบทเบเปเบเปเปเบเบทเปเบญเปเบเปเบเบญเบเบเบฑเบเปเบเบทเปเบญเบเปเบกเปเบเปเบฒเบเปเบฅเบฐเบเบปเบงเปเบเบเบญเบทเปเบเปเปเบเบเบญเบตเบเปเบชเป mod_jk เปเบฅเบฐ mod_proxy_ajp (mod_cluster เบเปเปเบชเบฐเบซเบเบฑเบเบชเบฐเบซเบเบนเบเบเบฒเบเบเบงเบเบชเบญเบเบเบงเบฒเบกเบเบทเบเบเปเบญเบ).
เปเบซเบผเปเบเบเปเปเบกเบนเบ: opennet.ru