Apache Tomcat ۾ ڪمزوري جيڪا توهان کي JSP ڪوڊ کي متبادل ڪرڻ ۽ ويب ايپليڪيشن فائلون حاصل ڪرڻ جي اجازت ڏئي ٿي

چيني ڪمپني Chaitin Tech جي محققن دريافت ڪيو آهي ڪمزوري (CVE-2020-1938) ۾ Apache Apacheجاوا سرورٽ، جاوا سرور صفحا، جاوا ايڪسپريشن ٻولي ۽ جاوا ويب ساڪٽ ٽيڪنالاجيز جو هڪ کليل عمل. خطري کي ڪوڊ جو نالو Ghostcat ۽ هڪ نازڪ شدت جي سطح (9.8 CVSS) مقرر ڪيو ويو آهي. مسئلو اجازت ڏئي ٿو، ڊفالٽ ترتيب ۾، نيٽ ورڪ پورٽ 8009 تي هڪ درخواست موڪلڻ سان، ويب ايپليڪيشن ڊاريڪٽري مان ڪنهن به فائلن جي مواد کي پڙهڻ لاءِ، بشمول سيٽنگون ۽ ايپليڪيشن سورس ڪوڊس سان فائلون.

ڪمزوري پڻ ٻين فائلن کي ايپليڪيشن ڪوڊ ۾ درآمد ڪرڻ کي ممڪن بڻائي ٿي، جيڪا سرور تي ڪوڊ جي عمل جي اجازت ڏئي ٿي جيڪڏهن ايپليڪيشن فائلن کي سرور تي اپلوڊ ڪرڻ جي اجازت ڏئي ٿي (مثال طور، هڪ حملو ڪندڙ JSP اسڪرپٽ کي اپلوڊ ڪري سگهي ٿو جيڪو تصوير جي طور تي ظاهر ڪري ٿو. تصوير اپلوڊ فارم). حملو تڏهن ٿي سگهي ٿو جڏهن اهو ممڪن آهي ته هڪ نيٽ ورڪ پورٽ ڏانهن درخواست موڪلڻ AJP هينڊلر سان. ابتدائي انگن اکرن موجب، آن لائن مليو 1.2 ملين کان وڌيڪ ميزبان AJP پروٽوڪول ذريعي درخواستون قبول ڪن ٿا.

نقصان AJP پروٽوڪول ۾ موجود آهي، ۽ نه سڏيو ويو عمل ۾ غلطي. HTTP (port 8080) ذريعي ڪنيڪشن قبول ڪرڻ کان علاوه، Apache Tomcat by default AJP پروٽوڪول ذريعي ويب ايپليڪيشن تائين رسائي جي اجازت ڏئي ٿو (Apache Jserv پروٽوڪول, port 8009)، جيڪو اعليٰ ڪارڪردگي لاءِ بهتر ڪيل HTTP جو هڪ بائنري اينالاگ آهي، عام طور تي استعمال ٿيندو آهي جڏهن Tomcat سرورز جو ڪلستر ٺاهي يا ريورس پراکسي يا لوڊ بيلنس تي Tomcat سان رابطي کي تيز ڪرڻ لاءِ.

AJP سرور تي فائلن تائين رسائي حاصل ڪرڻ لاءِ هڪ معياري فنڪشن مهيا ڪري ٿو، جنهن کي استعمال ڪري سگهجي ٿو، بشمول فائلون حاصل ڪرڻ جيڪي ظاهر ڪرڻ جي تابع نه آهن. AJP کي صرف قابل اعتماد سرورن تائين رسائي هجڻ گهرجي، پر حقيقت ۾ Tomcat جي ڊفالٽ ترتيب سڀني نيٽ ورڪ انٽرفيس تي هينڊلر هلائي ۽ تصديق جي بغير درخواستن کي قبول ڪيو. ڪنهن به ويب ايپليڪيشن فائلن تائين رسائي ممڪن آهي، بشمول WEB-INF، META-INF ۽ ڪنهن ٻئي ڊائريڪٽري جو مواد جيڪو ServletContext.getResourceAsStream() تي ڪال ذريعي مهيا ڪيو ويو آهي. AJP توهان کي ڪنهن به فائل کي استعمال ڪرڻ جي اجازت ڏئي ٿي ڊائريڪٽرن ۾ جيڪا ويب ايپليڪيشن تائين رسائي ٿي سگهي ٿي JSP اسڪرپٽ جي طور تي.

مسئلو 13 سال اڳ جاري ٿيل Tomcat 6.x برانچ کان وٺي ظاهر ٿي رهيو آهي. Tomcat مسئلو پاڻ کان علاوه متاثر ڪري ٿو ۽ پراڊڪٽس جيڪي ان کي استعمال ڪن ٿا، جهڙوڪ Red Hat JBoss Web Server (JWS)، JBoss Enterprise Application Platform (EAP)، ۽ گڏوگڏ پاڻمرادو ويب ايپليڪيشنون جيڪي استعمال ڪن ٿيون اسپرنگ بوٽ. ملندڙ نقصان (CVE-2020-1745) موجود آهي ويب سرور ۾ هيٺيون, Wildfly ايپليڪيشن سرور ۾ استعمال ٿيل. JBoss ۽ Wildfly ۾، AJP صرف ڊفالٽ طور تي domain.xml ۾ standalone-full-ha.xml، standalone-ha.xml ۽ ha/full-ha پروفائلز ۾ فعال ٿيل آھي. اسپرنگ بوٽ ۾، AJP سپورٽ ڊفالٽ طور بند ٿيل آهي. هن وقت، مختلف گروهن هڪ درجن کان وڌيڪ ڪم ڪندڙ مثال تيار ڪيا آهن استحصال (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

Tomcat رليز ۾ مقرر ٿيل نقصان 9.0.31, 8.5.51 и 7.0.100 (6.x شاخ جي سار سنڀال بند ڪيو ويو). توھان انھن صفحن تي تقسيم کٽ ۾ تازه ڪاري جي دستيابي کي ٽريڪ ڪري سگھو ٿا: Debian, Ubuntu, رڇيل, بيدل, SUSE, FreeBSD. هڪ حل جي طور تي، توهان Tomcat AJP Connector سروس کي بند ڪري سگهو ٿا (لوڪ هوسٽ سان ٻڌندڙ ساکٽ کي پابند ڪريو يا Connector port = "8009" سان لائن کي تبصرو ڪريو) جيڪڏهن ضرورت نه هجي، يا ٽيون "راز" ۽ "پتا" خاصيتون استعمال ڪندي تصديق ٿيل رسائي، جيڪڏهن خدمت استعمال ڪئي وئي آهي ٻين سرورز ۽ پراکسيز سان رابطو ڪرڻ لاء mod_jk ۽ mod_proxy_ajp (mod_cluster تصديق جي حمايت نٿو ڪري).

جو ذريعو: opennet.ru