Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Ghostcat (CVE-2020-1938) – nowa podatność w Tomcacie. Można czytać pliki z serwera / czasem również wykonywać kod
W dzisiejszym vulnz podatność która przetrwała w Tomcacie przeszło 10 lat.
W skrócie: jeśli na świat dostępny jest AJP Connector (domyślnie jest on uruchamiany i słucha na porcie 8009) – to możliwe jest czytanie plików z serwera (np. plików konfiguracyjnych, źródeł aplikacji).
Dodatkowo możliwe jest czasem wykonanie kodu na systemie operacyjnym – warunkiem jest posiadanie przez aplikację funkcji uploadu (atakujący wgrywa wtedy plik o dowolnym rozszerzeniu – np. txt czy .jpg – i dalej ma możliwość wykonywania go jako jsp)
In addition, if the website application allows users upload file, an attacker can first upload a file containing malicious JSP script code to the server (the uploaded file itself can be any type of file, such as pictures, plain text files etc.), and then include the uploaded file by exploiting the Ghostcat vulnerability, which finally can result in remote code execution.
Które wersje Tomcata są podatne?
- Apache Tomcat 9.x < 9.0.31
- Apache Tomcat 8.x < 8.5.51
- Apache Tomcat 7.x < 7.0.100
- Apache Tomcat 6.x
Polecamy łatanie (szczególnie że bez większego problemu gotowe są gotowe exploity) oraz dla pewności sprawdzenie czy nie mamy przypadkiem otwartego na świat portu 8009.
–ms
