Vulnerabilitat en Tomcat i JBoss
La fallada permet llegir arxius de configuració del servidor sense necessitat d'autenticació
Risc: Alt
També es podria executar codi arbitrari si el servidor permet carregar arxius.
Els experts han detectat que hi hauria més de 170 mil dispositius afectats. Encara que un escaneig amb Shodan indica que hi hauria aproximadament més de 198.000 servidors, amb port AJP (8009) exposats només als Estats Units.
Més informació.
Sistemes Afectats: Aquesta vulnerabilitat resideix en Apache Jserv Protocol (AJP), en Apache Tomcat:
- Apache Tomcat, version 6.x, 7.x, 8.x i 9.x
- JBossWeb Server, versions 3.1.7 i 5.2.0
- JBoss EAP, versions 6.x i 7.x
- Red Hat Enterprise Linux, versions 5.x ELS, 6.x, 7.x i 8.x
Referències: CVE-2020-1938
Solució:
- Actualitzar a l'última versió d'Apache Tomcat (9.0.31, 8.5.51 i 7.0.100)
- Per a Tomcat: si el servei no està utilitzant el connector AJP, desactivar des de TOMCAT_HOME <> /conf/server.xml
- Per a Tomcat: si es requereix connector AJP, actualitzar i establir una contrasenya secreta. Edit conf/server.xml
- Per a JBoss: verificar que el connector AJP està habilitat de manera predeterminada només en els perfils standalone-full-ha.xml, standalone-ha.xml i ha i full-ha en domain.xml
Notes: None