Apache Software Foundation 發布了 Apache Tomcat 7、8.5 及 9 的新版本以應對於 Apache JServ Protocol (AJP) 中的一個漏洞。未通過認證的遠端攻擊者可以發送特製的請求從而讀取網上應用系統檔案,或上載惡意的 JavaServer Pages (JSP) 編碼從而執行任意程式碼。
有報告指針對 Apache JServ Protocol (AJP) 漏洞的程式碼已被公開。用戶應立即為受影響的系統安裝修補程式以免增加受到網絡攻擊的風險。對於寄存在外判平台的系統,系統擁有者應與網站寄存服務商確認已安裝相關的修補程式。
Apache 宣布 Tomcat 6.x 及 8.x 的支援已分別於2016年12月31日及2018年6月30日停止,在這之後也不會再提供安全更新。用戶應安排升級 Apache Tomcat,或轉至其他受支援的技術。
成功利用這個漏洞可以導致在受影響的系統泄漏資訊及執行任意程式碼。
Apache Software Foundation 發行了有關產品的新版本以應對以上問題。用戶可從以下網址下載:
如果仍在使用 Apache Tomcat 6.x,系統管理員應遵從以下網址中提供的建議,以關閉 AJP Connector 或設定合適的認證憑證至 Connector 以避免該漏洞:
https://www.chaitin.cn/en/ghostcat
https://tomcat.apache.org/tomcat-7.0-doc/changelog.html#Tomcat%207.0.100%20(violetagg)
https://tomcat.apache.org/tomcat-8.5-doc/changelog.html#Tomcat_8.5.51_(markt)
https://tomcat.apache.org/tomcat-9.0-doc/changelog.html#Tomcat_9.0.31_(markt)
https://tomcat.apache.org/tomcat-60-eol.html
https://tomcat.apache.org/tomcat-80-eol.html
https://www.cnvd.org.cn/webinfo/show/5415
https://www.chaitin.cn/en/ghostcat
https://zh-tw.tenable.com/blog/cve-2020-1938-ghostcat-apache-tomcat-ajp-file-readinclusion-vulnerability-cnvd-2020-10487