Vulnerabilidad en Tomcat y JBoss
El fallo permite leer archivos de configuración del servidor sin necesidad de autenticación.
Riesgo: Alto
También se podría ejecutar código arbitrario si el servidor permite cargar archivos.
Los expertos han detectado que habría más de 170 mil dispositivos afectados. Aunque un escaneo con Shodan indica que habría aproximadamente más de 198.000 servidores, con puerto AJP (8009), expuestos sólo en Estados Unidos.
Más información.
Sistemas Afectados: Esta vulnerabilidad reside en Apache Jserv Protocol (AJP), en Apache Tomcat:
- Apache Tomcat, versiones 6.x, 7.x, 8.x y 9.x
- JBossWeb Server, versiones 3.1.7 y 5.2.0
- JBoss EAP, versiones 6.x y 7.x
- Red Hat Enterprise Linux, versiones 5.x ELS, 6.x, 7.x y 8.x
Referencias: CVE-2020-1938
Solución:
- Actualizar a la última versión de Apache Tomcat (9.0.31, 8.5.51 y 7.0.100)
- Para Tomcat: si el servicio no está utilizando el conector AJP, desactivar desde <TOMCAT_HOME> /conf/server.xml
- Para Tomcat: si se requiere conector AJP, actualizar y establecer una contraseña secreta. Edit conf/server.xml
- Para JBoss: verificar que el conector AJP está habilitado de manera predeterminada solo en los perfiles standalone-full-ha.xml, standalone-ha.xml y ha y full-ha en domain.xml
Notas: None