Все версии сервера Apache Tomcat оказались с серьезной уязвимостью

Опасная уязвимость, названная Ghostcat, обнаружена во всех версиях сервера приложений Apache Tomcat, выпущенных за последние 13 лет, китайской компанией по кибербезопасности Chaitin Tech, 28 февраля сообщает электронный журнал ZDNet.

К уязвимости приводят недоработки в реализации бинарного протокола обмена данными между серверами Apache JServ Protocol (AJP).

AJP включен на Apache Tomcat по умолчанию и, если при установке его не отключили принудительно и не закрыли порт для соединений извне, то злоумышленник может прочитать файлы конфигураций развернутых приложений (в том числе данные административных учетных записей) и, наоборот, записать на диск сервера вредоносное программное обеспечение.

Дело в том, что веб-сервер Apache HTTPD может выступать в роли кэширующего прокси-сервера для Apache Tomcat, снижая нагрузку на последний. Либо несколько серверов Apache Tomcat могут распределять задачи. Для чего и устанавливается соединение.

Такие схемы применяют далеко не всегда. А когда используют, то, как правило, соединения устанавливаются в рамках внутренней сети. Однако AJP открывает порт 8009 для доступа с любого адреса по умолчанию.

Уязвимости подвержены серверы приложений Apache Tomcat, начиная с версий 6.x. Основная версия 6.x была выпущена еще в 2007 году. В Apache уже выпустили пакеты исправлений для версий 7.x – 9.x, но 6.x так и останется без изменений.

В Chaitin Tech рекомендовали отключить AJP, если он не используется, или явно указать только локальный адрес, т. к. порт вообще не должен быть открыт вовне, за исключением крайне редких случаев.

Читайте также: Еврокомиссия: граждане ЕС не чувствуют себя в безопасности из-за кибератак