Apache Software Foundation 发布了 Apache Tomcat 7、8.5 及 9 的新版本以应对于 Apache JServ Protocol (AJP) 中的一个漏洞。未通过认证的远端攻击者可以发送特制的请求从而读取网上应用系统档案,或上载恶意的 JavaServer Pages (JSP) 编码从而执行任意程式码。
有报告指针对 Apache JServ Protocol (AJP) 漏洞的程式码已被公开。用户应立即为受影响的系统安装修补程式以免增加受到网络攻击的风险。对于寄存在外判平台的系统,系统拥有者应与网站寄存服务商确认已安装相关的修补程式。
Apache 宣布 Tomcat 6.x 及 8.x 的支援已分别于2016年12月31日及2018年6月30日停止,在这之后也不会再提供安全更新。用户应安排升级 Apache Tomcat,或转至其他受支援的技术。
成功利用这个漏洞可以导致在受影响的系统泄漏资讯及执行任意程式码。
Apache Software Foundation 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:
如果仍在使用 Apache Tomcat 6.x,系统管理员应遵从以下网址中提供的建议,以关闭 AJP Connector 或设定合适的认证凭证至 Connector 以避免该漏洞:
https://www.chaitin.cn/en/ghostcat
https://tomcat.apache.org/tomcat-7.0-doc/changelog.html#Tomcat%207.0.100%20(violetagg)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.51_(markt)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.31_(markt)
https://tomcat.apache.org/tomcat-60-eol.html
https://tomcat.apache.org/tomcat-80-eol.html
https://www.cnvd.org.cn/webinfo/show/5415
https://www.chaitin.cn/en/ghostcat
https://zh-tw.tenable.com/blog/cve-2020-1938-ghostcat-apache-tomcat-ajp-file-readinclusion-vulnerability-cnvd-2020-10487