Apache Tomcat मा कमजोरी जसले JSP कोड प्रतिस्थापन गर्न र वेब अनुप्रयोग फाइलहरू प्राप्त गर्न अनुमति दिन्छ

चिनियाँ कम्पनी चायटिन टेकका अनुसन्धानकर्ताहरूले पत्ता लगाएका छन् कमजोरी (CVE-2020-1938) मा अपाचे टमाटर, Java Servlet, JavaServer पृष्ठहरू, Java Expression Language र Java WebSocket प्रविधिहरूको खुला कार्यान्वयन। भेद्यतालाई कोड नाम Ghostcat र एक महत्वपूर्ण गम्भीरता स्तर (9.8 CVSS) तोकिएको छ। समस्याले, पूर्वनिर्धारित कन्फिगरेसनमा, नेटवर्क पोर्ट 8009 मा अनुरोध पठाएर, वेब अनुप्रयोग डाइरेक्टरीबाट सेटिङहरू र अनुप्रयोग स्रोत कोडहरू सहित फाइलहरू सहित कुनै पनि फाइलहरूको सामग्रीहरू पढ्न अनुमति दिन्छ।

कमजोरीले अनुप्रयोग कोडमा अन्य फाइलहरू आयात गर्न पनि सम्भव बनाउँछ, जसले सर्भरमा कोड कार्यान्वयन गर्न अनुमति दिन्छ यदि अनुप्रयोगले फाइलहरूलाई सर्भरमा अपलोड गर्न अनुमति दिन्छ (उदाहरणका लागि, आक्रमणकारीले छविको रूपमा भेषमा JSP स्क्रिप्ट अपलोड गर्न सक्छ। छवि अपलोड फारम)। AJP ह्यान्डलरको साथ नेटवर्क पोर्टमा अनुरोध पठाउन सम्भव हुँदा आक्रमण गर्न सकिन्छ। प्रारम्भिक जानकारी अनुसार, अनलाइन भेटियो AJP प्रोटोकल मार्फत अनुरोधहरू स्वीकार गर्दै 1.2 मिलियन भन्दा बढी होस्टहरू।

जोखिम AJP प्रोटोकलमा अवस्थित छ, र बोलाइएको छैन कार्यान्वयनमा त्रुटि। HTTP (पोर्ट 8080) मार्फत जडानहरू स्वीकार गर्नुको अतिरिक्त, पूर्वनिर्धारित रूपमा Apache Tomcat ले AJP प्रोटोकल मार्फत वेब अनुप्रयोगमा पहुँच गर्न अनुमति दिन्छ।Apache Jserv प्रोटोकल, पोर्ट 8009), जुन उच्च प्रदर्शनको लागि अनुकूलित HTTP को बाइनरी एनालग हो, सामान्यतया Tomcat सर्भरहरूको क्लस्टर सिर्जना गर्दा वा रिभर्स प्रोक्सी वा लोड ब्यालेन्सरमा Tomcat सँग अन्तरक्रियाको गति बढाउन प्रयोग गरिन्छ।

AJP ले सर्भरमा फाईलहरू पहुँच गर्नको लागि एक मानक प्रकार्य प्रदान गर्दछ, जुन प्रयोग गर्न सकिन्छ, खुलासाको विषय नभएका फाइलहरू प्राप्त गर्ने सहित। AJP विश्वसनीय सर्भरहरूमा मात्र पहुँचयोग्य हुन मानिन्छ, तर वास्तवमा Tomcat को पूर्वनिर्धारित कन्फिगरेसनले सबै नेटवर्क इन्टरफेसहरूमा ह्यान्डलर चलाएको थियो र प्रमाणीकरण बिना अनुरोधहरू स्वीकार गर्‍यो। पहुँच कुनै पनि वेब अनुप्रयोग फाइलहरूमा सम्भव छ, WEB-INF, META-INF र ServletContext.getResourceAsStream() मा कल मार्फत उपलब्ध गराइएका अन्य निर्देशिकाहरू सहित। AJP ले तपाईंलाई JSP स्क्रिप्टको रूपमा वेब अनुप्रयोगमा पहुँचयोग्य निर्देशिकाहरूमा कुनै पनि फाइल प्रयोग गर्न अनुमति दिन्छ।

13 वर्ष पहिले जारी Tomcat 6.x शाखाबाट समस्या देखा परेको छ। Tomcat समस्या को अतिरिक्त असर गर्छ र यसलाई प्रयोग गर्ने उत्पादनहरू, जस्तै Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), साथै प्रयोग गर्ने स्व-निहित वेब अनुप्रयोगहरू वसन्त बुट। समान जोखिम (CVE-2020-1745) वर्तमान वेब सर्भरमा अन्तर्गत, Wildfly अनुप्रयोग सर्भरमा प्रयोग गरियो। JBoss र Wildfly मा, AJP लाई domain.xml मा standalone-full-ha.xml, standalone-ha.xml र ha/full-ha प्रोफाइलहरूमा पूर्वनिर्धारित रूपमा सक्षम गरिएको छ। वसन्त बुटमा, AJP समर्थन पूर्वनिर्धारित रूपमा असक्षम हुन्छ। हाल, विभिन्न समूहहरूले शोषणको एक दर्जन भन्दा बढी कार्य उदाहरणहरू तयार पारेका छन् (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

Tomcat विज्ञप्तिमा जोखिम फिक्स गरियो 9.0.31, 8.5.51 и 7.0.100 (6.x शाखाको मर्मतसम्भार बन्द गरियो)। तपाईंले यी पृष्ठहरूमा वितरण किटहरूमा अद्यावधिकहरूको उपलब्धता ट्र्याक गर्न सक्नुहुन्छ: Debian, Ubuntu, RHEL, फेडोरा, सुसे, फ्रिबिएसडि। समाधानको रूपमा, तपाईंले Tomcat AJP कनेक्टर सेवा असक्षम गर्न सक्नुहुन्छ (लोकलहोस्टमा सुन्ने सकेट बाँध्नुहोस् वा कनेक्टर पोर्ट = "8009" सँग लाइन टिप्पणी गर्नुहोस्) यदि आवश्यक छैन भने, वा धुन "गोप्य" र "ठेगाना" विशेषताहरू प्रयोग गरी प्रमाणीकृत पहुँच, यदि सेवा अन्य सर्भरहरू र mod_jk र mod_proxy_ajp (mod_cluster ले प्रमाणीकरणलाई समर्थन गर्दैन) मा आधारित प्रोक्सीहरूसँग अन्तरक्रिया गर्न प्रयोग गरिन्छ।

स्रोत: opennet.ru