JSP කේතය ආදේශ කිරීමට සහ වෙබ් යෙදුම් ගොනු ලබා ගැනීමට ඉඩ සලසන Apache Tomcat හි අවදානම

චීන සමාගමක් වන Chaitin Tech හි පර්යේෂකයන් විසින් සොයාගෙන ඇත අවදානම (CVE-2020-1938) තුළ Apache Tomcat, Java Servlet, JavaServer Pages, Java Expression Language සහ Java WebSocket තාක්ෂණයන් විවෘතව ක්‍රියාත්මක කිරීමකි. අවදානමට Ghostcat යන කේත නාමය සහ විවේචනාත්මක බරපතල මට්ටමක් (9.8 CVSS) පවරා ඇත. ගැටළුව, පෙරනිමි වින්‍යාසය තුළ, ජාල තොට 8009 මත ඉල්ලීමක් යැවීමෙන්, සැකසුම් සහ යෙදුම් ප්‍රභව කේත සහිත ගොනු ඇතුළුව, වෙබ් යෙදුම් නාමාවලියෙන් ඕනෑම ගොනුවක අන්තර්ගතය කියවීමට ඉඩ සලසයි.

මෙම අවදානම නිසා යෙදුම් කේතයට වෙනත් ගොනු ආයාත කිරීමට හැකි වේ, යෙදුම මඟින් ගොනු සේවාදායකයට උඩුගත කිරීමට ඉඩ දෙන්නේ නම් සේවාදායකයේ කේත ක්‍රියාත්මක කිරීමට ඉඩ සලසයි (උදාහරණයක් ලෙස, ප්‍රහාරකයෙකුට රූපයක් ලෙස වෙස්වළාගත් JSP ස්ක්‍රිප්ට් එකක් උඩුගත කළ හැකිය. පින්තූරය උඩුගත කිරීමේ පෝරමය). AJP හසුරුවෙකු සමඟ ජාල වරායකට ඉල්ලීමක් යැවීමට හැකි වූ විට ප්රහාරය සිදු කළ හැකිය. මූලික දත්ත වලට අනුව, මාර්ගගතව සොයාගත්තා AJP ප්‍රොටෝකෝලය හරහා ඉල්ලීම් පිළිගන්නා සත්කාරක මිලියන 1.2 කට වඩා වැඩිය.

අවදානම AJP ප්‍රොටෝකෝලය තුළ පවතී, සහ කැඳවා නැත ක්රියාත්මක කිරීමේදී දෝෂයක්. HTTP (port 8080) හරහා සම්බන්ධතා පිළිගැනීමට අමතරව, Apache Tomcat පෙරනිමියෙන් AJP ප්‍රොටෝකෝලය හරහා වෙබ් යෙදුමකට ප්‍රවේශ වීමට ඉඩ සලසයි (Apache Jserv Protocol, port 8009), සාමාන්‍යයෙන් Tomcat සේවාදායකයන් පොකුරක් නිර්මාණය කිරීමේදී හෝ ප්‍රතිලෝම ප්‍රොක්සි හෝ load balancer මත Tomcat සමඟ අන්තර්ක්‍රියා වේගවත් කිරීම සඳහා භාවිතා කරන HTTP හි ද්විමය ප්‍රතිසමයකි.

AJP සේවාදායකයේ ගොනු වෙත ප්‍රවේශ වීම සඳහා සම්මත ශ්‍රිතයක් සපයයි, එය අනාවරණය කිරීමට යටත් නොවන ගොනු ලබා ගැනීම ඇතුළුව භාවිතා කළ හැක. AJP වෙත ප්‍රවේශ විය හැක්කේ විශ්වාසදායක සේවාදායකයන්ට පමණක් වන නමුත් සත්‍ය වශයෙන්ම Tomcat හි පෙරනිමි වින්‍යාසය මඟින් සියලුම ජාල අතුරුමුහුණත්වල හසුරුවන්නා ධාවනය කළ අතර සත්‍යාපනයකින් තොරව ඉල්ලීම් පිළිගනු ලැබේ. ServletContext.getResourceAsStream() වෙත ඇමතුමක් හරහා ලබා දී ඇති WEB-INF, META-INF සහ වෙනත් ඕනෑම නාමාවලිවල අන්තර්ගතය ඇතුළුව ඕනෑම වෙබ් යෙදුම් ගොනු වෙත ප්‍රවේශ විය හැක. AJP ඔබට JSP ස්ක්‍රිප්ට් එකක් ලෙස වෙබ් යෙදුමට ප්‍රවේශ විය හැකි නාමාවලිවල ඕනෑම ගොනුවක් භාවිතා කිරීමටද ඉඩ සලසයි.

වසර 13 කට පෙර නිකුත් කරන ලද Tomcat 6.x ශාඛාවේ සිට මෙම ගැටළුව දිස්වේ. Tomcat ගැටලුවට අමතරව බලපානවා සහ එය භාවිතා කරන නිෂ්පාදන, එනම් Red Hat JBoss Web Server (JWS), JBoss Enterprise Application Platform (EAP), මෙන්ම භාවිතා කරන ස්වයං අන්තර්ගත වෙබ් යෙදුම් වසන්ත ඇරඹුම. සමාන අවදානම් (CVE-2020-1745) වත්මන් වේ වෙබ් සේවාදායකයේ යටින්, Wildfly යෙදුම් සේවාදායකයේ භාවිතා වේ. JBoss සහ Wildfly හි, AJP පෙරනිමියෙන් සක්‍රීය කර ඇත්තේ domain.xml හි ස්වාධීන-full-ha.xml, standalone-ha.xml සහ ha/full-ha පැතිකඩවල පමණි. Spring Boot වලදී, AJP සහාය පෙරනිමියෙන් අක්‍රීය කර ඇත. වර්තමානයේ, විවිධ කණ්ඩායම් විසින් සූරාකෑම් පිළිබඳ වැඩ කරන උදාහරණ දුසිමකට වඩා සකස් කර ඇත (
1,
2,
3,
4,
5,
6,
7,
8,
9,
10,
11).

ටොම්කැට් නිකුතු වල අවදානම නිරාකරණය කර ඇත 9.0.31, 8.5.51 и 7.0.100 (6.x ශාඛාව නඩත්තු කිරීම නතර කළා) ඔබට මෙම පිටුවල බෙදාහැරීමේ කට්ටලවල ඇති යාවත්කාලීනයන් නිරීක්ෂණය කළ හැක: ඩේබියන්, උබුන්ටු, රාල්, Fedora, SUSE, FreeBSD. විසඳුමක් ලෙස, ඔබට Tomcat AJP Connector සේවාව අක්‍රිය කළ හැකිය (Local Host වෙත සවන්දීමේ සොකට් බැඳීමට හෝ Connector port = "8009" සමඟ රේඛාව අදහස් දක්වන්න) එය අවශ්‍ය නොවේ නම්, හෝ සකසන්න mod_jk සහ mod_proxy_ajp (mod_cluster සත්‍යාපනයට සහය නොදක්වයි) මත පදනම්ව වෙනත් සේවාදායකයන් සහ ප්‍රොක්සි සමඟ අන්තර් ක්‍රියා කිරීමට මෙම සේවාව භාවිතා කරන්නේ නම්, "රහස්" සහ "ලිපින" ගුණාංග භාවිතයෙන් සත්‍යාපනය කළ ප්‍රවේශය.

මූලාශ්රය: opennet.ru