Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/02/2020
Vulnerabilidad en Apache Tomcat
Se ha descubierto una nueva vulnerabilidad en el protocolo AJP de Apache Tomcat que podría permitir a un atacante realizar acciones no autorizadas.Un atacante podría explotar la vulnerabilidad para leer archivos arbitrarios del servidor webapp enviando peticiones específicas modificadas. Además, si el servidor tiene la opción de subir archivos, el atacante podría aprovecharse y ejecutar código de manera remota.
Recordad que la versión 6 de Tomcat está fuera de soporte (https://tomcat.apache.org/security.html)
Sistemas Afectados:Apache Tomcat 6 (todas)
Apache Tomcat 7 inferiores a 7.0.100
Apache Tomcat 8 inferiores a 8.5.51
Apache Tomcat 9 inferiores a 9.0.31
CVE-2020-1938
Solución:Apache ha publicado las siguientes versiones que corrigen la vulnerabilidad:
Apache Tomcat 7.0.100
Apache Tomcat 8.5.51
Apache Tomcat 9.0.31
Acciones específicas:
En caso de utilizar el protocolo AJP
1. Se recomienda actualizar Tomcat a las versiones 9.0.31, 8.5.51 o 7.0.100, según aplique.
2. Configurar credenciales de autenticación para que el conector AJPConnector:
<Connectorport = "8009" protocol = "AJP / 1.3" redirectPort = "8443" address = "YOUR_TOMCAT_IP_ADDRESS" secret = "YOUR_TOMCAT_AJP_SECRET" />
<Connectorport = "8009" protocol = "AJP / 1.3" redirectPort = "8443" address = "YOUR_TOMCAT_IP_ADDRESS" requiredSecret = "YOUR_TOMCAT_AJP_SECRET" />
En caso de no poder actualizar o tener alguna versión más antigua se recomienda realizar las siguientes acciones:
1. Cerrar el conector AJP y cambiar la dirección de escucha para que escuche en sólo en localhost
2. Edite <CATALINA_BASE> (en el directorio de trabajo de Tomcat) /conf/server.xml y buscar y comentar la siguiente línea:
<Connectorport = "8009" protocol = "AJP / 1.3" redirectPort = "8443" />
3. Guardar y reiniciar para aplicar los cambios.
Más información:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938
https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi