InfoQ@13 年的所有版本,Apache Tomcat 被曝重大漏洞,影响过去

【InfoQ@13 年的所有版本,Apache Tomcat 被曝重大漏洞,影响过去】
InfoQ@13 年的所有版本,Apache Tomcat 被曝重大漏洞,影响过去
文章图片
近日 , 国内安全公司长亭科技披露一个在Tomcat中潜伏十多年的安全漏洞——Ghostcat(幽灵猫) , 其编号为CVE-2020-1938 。
据悉 , Ghostcat(幽灵猫)由长亭科技安全研究员发现 , 它是存在于Tomcat中的安全漏洞 。
由于TomcatAJP协议设计上存在缺陷 , 攻击者通过TomcatAJPConnector可以读取或包含Tomcat上所有webapp目录下的任意文件 , 例如可以读取webapp配置文件或源代码 。
TomcatConnector是Tomcat与外部连接的通道 , 它使得Catalina能够接收来自外部的请求 , 传递给对应的Web应用程序处理 , 并返回请求的响应结果 。 默认情况下 , Tomcat配置了两个Connector , 它们分别是HTTPConnector和AJPConnector 。
并且 , 在目标应用有文件上传功能的情况下 , 配合文件包含的利用还可以达到远程代码执行的危害 。
影响过去13年所有ApacheTomcat版本众所周知 , Java是目前Web开发中最主流的编程语言 , 而Tomcat是当前最流行的Java中间件服务器之一 , 从初版发布到现在已有二十多年历史 , 在世界范围内被广泛使用 。
据长亭科技官方介绍 , 这个漏洞影响全版本默认配置下的Tomcat(已确认影响Tomcat9/8/7/6全版本) , 这意味着Ghostcat在Tomcat中潜伏十多年 。
“通过Ghostcat漏洞 , 攻击者可以读取Tomcat所有webapp目录下的任意文件 。 ”长亭科技在博客上写道 。
此外 , 如果网站应用提供文件上传的功能 , 攻击者能先向服务端上传一个内容含有恶意JSP脚本代码的文件(上传的文件本身可以是任意类型的文件 , 比如图片、纯文本文件等) , 然后利用Ghostcat漏洞进行文件包含 , 从而达到代码执行的危害 。
下列版本的Tomcat受Ghostcat漏洞影响:
ApacheTomcat9.x<9.0.31ApacheTomcat8.x<8.5.51ApacheTomcat7.x<7.0.100ApacheTomcat6.x修复漏洞长亭科技提示:对于处在漏洞影响版本范围内的Tomcat而言 , 若其开启AJPConnector且攻击者能够访问AJPConnector服务端口的情况下 , 即存在被Ghostcat漏洞利用的风险 。
并且 , TomcatAJPConnector默认配置下即为开启状态 , 且监听在0.0.0.0:8009 。
要正确修复Ghostcat漏洞 , 首先要确定服务器环境中是否有用到TomcatAJP协议:
如果未使用集群或反向代理 , 则基本上可以确定没有用到AJP;如果使用了集群或反向代理 , 则需要看集群或反代服务器是否与Tomcat服务器AJP进行通信早在1月初 , 长亭科技向ApacheTomcat官方提交漏洞 。
目前 , Tomcat官方已经发布9.0.31、8.5.51及7.0.100版本针对此漏洞进行修复 。 因此 , 建议Tomcat用户尽快升级到最新版本 。
点解文末了解更多查看更多相关话题 。


    推荐阅读