Apache Tomcat मधील भेद्यता जी JSP कोड बदलण्याची आणि वेब ऍप्लिकेशन फाइल्स मिळविण्यास अनुमती देते

चायटिन टेक या चिनी कंपनीच्या संशोधकांनी शोध लावला आहे भेद्यता (सीव्हीई- 2020-1938) मध्ये अपाचे टॉमकॅट, Java Servlet, JavaServer Pages, Java Expression Language आणि Java WebSocket तंत्रज्ञानाची खुली अंमलबजावणी. असुरक्षिततेला घोस्टकॅट असे कोड नेम दिले गेले आहे आणि गंभीर तीव्रता पातळी (9.8 CVSS). डिफॉल्ट कॉन्फिगरेशनमध्ये, नेटवर्क पोर्ट 8009 वर विनंती पाठवून, सेटिंग्ज आणि अॅप्लिकेशन सोर्स कोडसह फाइल्ससह वेब अॅप्लिकेशन डिरेक्ट्रीमधील कोणत्याही फाइल्सची सामग्री वाचण्यासाठी समस्या परवानगी देते.

भेद्यतेमुळे ऍप्लिकेशन कोडमध्ये इतर फायली इंपोर्ट करणे शक्य होते, जे ऍप्लिकेशनने सर्व्हरवर फायली अपलोड करण्याची परवानगी दिल्यास सर्व्हरवर कोड अंमलात आणण्यास अनुमती देते (उदाहरणार्थ, आक्रमणकर्ता इमेजच्या वेशात JSP स्क्रिप्ट अपलोड करू शकतो. प्रतिमा अपलोड फॉर्म). जेव्हा एजेपी हँडलरसह नेटवर्क पोर्टवर विनंती पाठवणे शक्य असेल तेव्हा हल्ला केला जाऊ शकतो. प्राथमिक माहितीनुसार, ऑनलाइन आढळले 1.2 दशलक्षाहून अधिक होस्ट AJP प्रोटोकॉलद्वारे विनंत्या स्वीकारत आहेत.

AJP प्रोटोकॉलमध्ये भेद्यता अस्तित्वात आहे, आणि बोलावले नाही अंमलबजावणीत त्रुटी. HTTP (पोर्ट 8080) द्वारे कनेक्शन स्वीकारण्याव्यतिरिक्त, Apache Tomcat बाय डीफॉल्ट AJP प्रोटोकॉल (Apache Jserv प्रोटोकॉल, पोर्ट 8009), जे उच्च कार्यक्षमतेसाठी ऑप्टिमाइझ केलेले HTTP चे बायनरी अॅनालॉग आहे, सामान्यतः टॉमकॅट सर्व्हरचे क्लस्टर तयार करताना किंवा रिव्हर्स प्रॉक्सी किंवा लोड बॅलन्सरवर टॉमकॅटसह परस्परसंवादाची गती वाढवण्यासाठी वापरले जाते.

AJP सर्व्हरवरील फायलींमध्ये प्रवेश करण्यासाठी एक मानक कार्य प्रदान करते, ज्याचा वापर केला जाऊ शकतो, ज्यामध्ये प्रकटीकरणाच्या अधीन नसलेल्या फायली प्राप्त करणे समाविष्ट आहे. AJP फक्त विश्वासार्ह सर्व्हरवर प्रवेश करण्यायोग्य आहे असे मानले जाते, परंतु प्रत्यक्षात Tomcat च्या डीफॉल्ट कॉन्फिगरेशनने सर्व नेटवर्क इंटरफेसवर हँडलर चालवले आणि प्रमाणीकरणाशिवाय विनंत्या स्वीकारल्या. WEB-INF, META-INF आणि ServletContext.getResourceAsStream() वर कॉलद्वारे प्रदान केलेल्या इतर निर्देशिकांच्या सामग्रीसह कोणत्याही वेब ऍप्लिकेशन फायलींमध्ये प्रवेश करणे शक्य आहे. AJP तुम्हाला JSP स्क्रिप्ट म्हणून वेब ऍप्लिकेशनमध्ये प्रवेश करण्यायोग्य डिरेक्टरीमध्ये कोणतीही फाइल वापरण्याची परवानगी देते.

13 वर्षांपूर्वी रिलीज झालेल्या Tomcat 6.x शाखेपासून ही समस्या दिसून येत आहे. Tomcat समस्या स्वतः व्यतिरिक्त प्रभावित करते आणि त्याचा वापर करणारी उत्पादने, जसे की Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), तसेच स्वयं-समाविष्ट वेब अनुप्रयोग जे वापरतात वसंत बूट. सारखी भेद्यता (CVE-2020-1745) उपस्थित आहे वेब सर्व्हरमध्ये खाली, Wildfly ऍप्लिकेशन सर्व्हरमध्ये वापरले जाते. JBoss आणि Wildfly मध्ये, AJP केवळ domain.xml मधील standalone-full-ha.xml, standalone-ha.xml आणि ha/full-ha प्रोफाइलमध्ये डीफॉल्टनुसार सक्षम केले जाते. स्प्रिंग बूटमध्ये, AJP समर्थन डीफॉल्टनुसार अक्षम केले जाते. सध्या, वेगवेगळ्या गटांनी शोषणाची डझनभर कार्यरत उदाहरणे तयार केली आहेत (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

टॉमकॅट रिलीझमध्ये असुरक्षा निश्चित केली आहे 9.0.31, 8.5.51 и 7.0.100 (6.x शाखेची देखभाल बंद). तुम्ही या पृष्ठांवर वितरण किटमधील अद्यतनांच्या उपलब्धतेचा मागोवा घेऊ शकता: डेबियन, उबंटू, रहेल, Fedora, SUSE, FreeBSD. वर्कअराउंड म्हणून, तुम्ही टॉमकॅट एजेपी कनेक्टर सेवा अक्षम करू शकता (लोकलहोस्टला ऐकण्याचे सॉकेट बांधा किंवा कनेक्टर पोर्ट = "8009" सह ओळीवर टिप्पणी द्या) जर गरज नसेल तर, किंवा सेट अप mod_jk आणि mod_proxy_ajp (mod_cluster प्रमाणीकरणास समर्थन देत नाही) वर आधारित इतर सर्व्हर आणि प्रॉक्सीशी संवाद साधण्यासाठी सेवेचा वापर केला जात असल्यास, “गुप्त” आणि “पत्ता” विशेषता वापरून प्रमाणीकृत प्रवेश.

स्त्रोत: opennet.ru