Смягчение CVE-2020-1938
- Действующая система: сервер Ubuntu 18.04.4 LTS
- Версия Apache: 2.4.29-1ubuntu4.12
- Tomcat Apache: 8.5.39-1ubuntu1~18.04.3
- Модификация Apache JK: 1:1.2.43-1
В первую очередь, я считал многих технический документ из Debian/Ubuntu и Redhat в теории, если брандмауэр, включают и не освобождают порт 8009, уязвимость смягчена.
Но поскольку мы используем AJP, мы предпочитаем, включают смягчение через пароль также.
Я тестирую смягчение в Windows Server с той же версией апача, кота и mod_jk и работ, но когда я тестирую ту же конфигурацию в Сервере Ubuntu, коммуникации между апачем и канавкой кота, AJP не происходят.
Какова могла быть моя ошибка?
Трассировка ошибки в Ультрасовременном JK - это:
[Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [info] jk_open_socket::jk_connect.c (817): connect to ::1:8009 failed (errno=111)
[Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [info] ajp_connect_to_endpoint::jk_ajp_common.c (1068): (ajp13_worker) Failed opening socket to (::1:8009) (errno=111)
[Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [error] ajp_send_request::jk_ajp_common.c (1728): (ajp13_worker) connecting to backend failed. Tomcat is probably not started or is listening on the wrong port (errno=111)
[Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [info] ajp_service::jk_ajp_common.c (2778): (ajp13_worker) sending request to tomcat failed (recoverable), because of error during request sending (attempt=1)
[Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [info] jk_open_socket::jk_connect.c (817): connect to ::1:8009 failed (errno=111)
[Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [info] ajp_connect_to_endpoint::jk_ajp_common.c (1068): (ajp13_worker) Failed opening socket to (::1:8009) (errno=111)
[Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [error] ajp_send_request::jk_ajp_common.c (1728): (ajp13_worker) connecting to backend failed. Tomcat is probably not started or is listening on the wrong port (errno=111)
[Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [info] ajp_service::jk_ajp_common.c (2778): (ajp13_worker) sending request to tomcat failed (recoverable), because of error during request sending (attempt=2)
[Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [error] ajp_service::jk_ajp_common.c (2799): (ajp13_worker) connecting to tomcat failed (rc=-3, errors=3, client_errors=0).
[Tue Mar 03 16:11:18.203 2020] [28055:139750426003200] [info] jk_handler::mod_jk.c (2995): Service error=-3 for worker=ajp13_worker
Документ для смягчения вводит описание ссылки здесь
Резюме о задаче:
Измените server.xml
<Connector port="8009"
protocol="AJP/1.3"
redirectPort="8443"
requiredSecret="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" />
Workers.properties
workers.tomcat_home=/usr/share/tomcat8
workers.java_home=/usr/lib/jvm/default-java
ps=/
worker.list=ajp13_worker
worker.ajp13_worker.port=8009
worker.ajp13_worker.host=localhost
worker.ajp13_worker.type=ajp13
#worker.ajp13_worker.secret=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
worker.ajp13_worker.lbfactor=1
worker.loadbalancer.type=lb
worker.loadbalancer.balance_workers=ajp13_worker
#worker.loadbalancer.secret=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
# configure jk-status
#worker.list=jk-status
#worker.jk-status.type=status
#worker.jk-status.read_only=true
# configure jk-manager
#worker.list=jk-manager
#worker.jk-manager.type=status
Я благодарю Вас за любую справку, которую можно дать мне на предмете.
1 ответ
CVE-2020-1938 иначе Ghostcat
Desciption: При использовании Apache протокола JServ (AJP) заботу нужно соблюдать при доверении входящих соединений с Tomcat Apache. Tomcat рассматривает соединения AJP, поскольку наличие выше доверяет, чем, например, подобное HTTP-соединение. Если такие соединения доступны взломщику, они могут быть использованы способами, которые могут быть удивительными. В Tomcat Apache 9.0.0. M1 к 9.0.0.30, 8.5.0 к 8.5.50 и 7.0.0 к 7.0.99, Tomcat, поставленный с Коннектором AJP, включенным по умолчанию, это слушало на всех настроенных IP-адресах. Это ожидалось (и рекомендовалось в руководстве по обеспечению безопасности), что этот Коннектор будет отключен если не требуемый. Этот отчет об уязвимости определил механизм, который позволил: - возврат произвольных файлов отовсюду в веб-приложении - обрабатывающий любой файл в веб-приложении как JSP Далее, если веб-приложение позволило загрузку файла и хранило те файлы в рамках веб-приложения (или взломщик смог управлять содержанием веб-приложения некоторыми другими средствами), затем, это, наряду со способностью обработать файл как JSP, сделало удаленное выполнение кода возможным. Важно отметить, что смягчение только требуется, если порт AJP доступен для недоверяемых пользователей. Пользователи, желающие проявлять оборонный подробно подход и блокировать вектор, который разрешает возвращать произвольные файлы и выполнение как JSP, могут обновить до Tomcat Apache 9.0.31, 8.5.51 или 7.0.100 или позже. Много изменений были внесены в конфигурацию Коннектора AJP по умолчанию в 9.0.31 для укрепления конфигурации по умолчанию. Вероятно, что пользователи, обновляющие до 9.0.31, 8.5.51 или 7.0.100 или позже, должны будут внести небольшие изменения в свои конфигурации.