InfoQ@13 年的所有版本，Apache Tomcat 被曝重大漏洞，影响过去近日

【InfoQ@13 年的所有版本，Apache Tomcat 被曝重大漏洞，影响过去】

文章图片
近日，国内安全公司长亭科技披露一个在Tomcat中潜伏十多年的安全漏洞——Ghostcat（幽灵猫），其编号为CVE-2020-1938 。
据悉， Ghostcat（幽灵猫）由长亭科技安全研究员发现，它是存在于Tomcat中的安全漏洞。
由于TomcatAJP协议设计上存在缺陷，攻击者通过TomcatAJPConnector可以读取或包含Tomcat上所有webapp目录下的任意文件，例如可以读取webapp配置文件或源代码。
TomcatConnector是Tomcat与外部连接的通道，它使得Catalina能够接收来自外部的请求，传递给对应的Web应用程序处理，并返回请求的响应结果。默认情况下， Tomcat配置了两个Connector ，它们分别是HTTPConnector和AJPConnector 。
并且，在目标应用有文件上传功能的情况下，配合文件包含的利用还可以达到远程代码执行的危害。
影响过去13年所有ApacheTomcat版本众所周知， Java是目前Web开发中最主流的编程语言，而Tomcat是当前最流行的Java中间件服务器之一，从初版发布到现在已有二十多年历史，在世界范围内被广泛使用。
据长亭科技官方介绍，这个漏洞影响全版本默认配置下的Tomcat（已确认影响Tomcat9/8/7/6全版本），这意味着Ghostcat在Tomcat中潜伏十多年。
“通过Ghostcat漏洞，攻击者可以读取Tomcat所有webapp目录下的任意文件。 ”长亭科技在博客上写道。
此外，如果网站应用提供文件上传的功能，攻击者能先向服务端上传一个内容含有恶意JSP脚本代码的文件（上传的文件本身可以是任意类型的文件，比如图片、纯文本文件等），然后利用Ghostcat漏洞进行文件包含，从而达到代码执行的危害。
下列版本的Tomcat受Ghostcat漏洞影响：
ApacheTomcat9.x<9.0.31ApacheTomcat8.x<8.5.51ApacheTomcat7.x<7.0.100ApacheTomcat6.x修复漏洞长亭科技提示：对于处在漏洞影响版本范围内的Tomcat而言，若其开启AJPConnector且攻击者能够访问AJPConnector服务端口的情况下，即存在被Ghostcat漏洞利用的风险。
并且， TomcatAJPConnector默认配置下即为开启状态，且监听在0.0.0.0:8009 。
要正确修复Ghostcat漏洞，首先要确定服务器环境中是否有用到TomcatAJP协议：
如果未使用集群或反向代理，则基本上可以确定没有用到AJP；如果使用了集群或反向代理，则需要看集群或反代服务器是否与Tomcat服务器AJP进行通信早在1月初，长亭科技向ApacheTomcat官方提交漏洞。
目前， Tomcat官方已经发布9.0.31、8.5.51及7.0.100版本针对此漏洞进行修复。因此，建议Tomcat用户尽快升级到最新版本。
点解文末了解更多查看更多相关话题。