Смягчение CVE-2020-1938

  • Действующая система: сервер Ubuntu 18.04.4 LTS
  • Версия Apache: 2.4.29-1ubuntu4.12
  • Tomcat Apache: 8.5.39-1ubuntu1~18.04.3
  • Модификация Apache JK: 1:1.2.43-1
  • В первую очередь, я считал многих технический документ из Debian/Ubuntu и Redhat в теории, если брандмауэр, включают и не освобождают порт 8009, уязвимость смягчена.

    Но поскольку мы используем AJP, мы предпочитаем, включают смягчение через пароль также.

    Я тестирую смягчение в Windows Server с той же версией апача, кота и mod_jk и работ, но когда я тестирую ту же конфигурацию в Сервере Ubuntu, коммуникации между апачем и канавкой кота, AJP не происходят.

    Какова могла быть моя ошибка?

    Трассировка ошибки в Ультрасовременном JK - это:

    [Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [info] jk_open_socket::jk_connect.c (817): connect to ::1:8009 failed (errno=111)
    [Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [info] ajp_connect_to_endpoint::jk_ajp_common.c (1068): (ajp13_worker) Failed opening socket to (::1:8009) (errno=111)
    [Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [error] ajp_send_request::jk_ajp_common.c (1728): (ajp13_worker) connecting to backend failed. Tomcat is probably not started or is listening on the wrong port (errno=111)
    [Tue Mar 03 16:11:18.102 2020] [28055:139750426003200] [info] ajp_service::jk_ajp_common.c (2778): (ajp13_worker) sending request to tomcat failed (recoverable), because of error during request sending (attempt=1)
    [Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [info] jk_open_socket::jk_connect.c (817): connect to ::1:8009 failed (errno=111)
    [Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [info] ajp_connect_to_endpoint::jk_ajp_common.c (1068): (ajp13_worker) Failed opening socket to (::1:8009) (errno=111)
    [Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [error] ajp_send_request::jk_ajp_common.c (1728): (ajp13_worker) connecting to backend failed. Tomcat is probably not started or is listening on the wrong port (errno=111)
    [Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [info] ajp_service::jk_ajp_common.c (2778): (ajp13_worker) sending request to tomcat failed (recoverable), because of error during request sending (attempt=2)
    [Tue Mar 03 16:11:18.202 2020] [28055:139750426003200] [error] ajp_service::jk_ajp_common.c (2799): (ajp13_worker) connecting to tomcat failed (rc=-3, errors=3, client_errors=0).
    [Tue Mar 03 16:11:18.203 2020] [28055:139750426003200] [info] jk_handler::mod_jk.c (2995): Service error=-3 for worker=ajp13_worker
    

    Документ для смягчения вводит описание ссылки здесь

    Резюме о задаче:

    Измените server.xml

    
    

    Workers.properties

    workers.tomcat_home=/usr/share/tomcat8
    
    workers.java_home=/usr/lib/jvm/default-java
    
    ps=/
    
    worker.list=ajp13_worker
    
    worker.ajp13_worker.port=8009
    worker.ajp13_worker.host=localhost
    worker.ajp13_worker.type=ajp13
    #worker.ajp13_worker.secret=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    
    worker.ajp13_worker.lbfactor=1
    
    worker.loadbalancer.type=lb
    worker.loadbalancer.balance_workers=ajp13_worker
    #worker.loadbalancer.secret=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    
    # configure jk-status
    #worker.list=jk-status
    #worker.jk-status.type=status
    #worker.jk-status.read_only=true
    # configure jk-manager
    #worker.list=jk-manager
    #worker.jk-manager.type=status
    

    Я благодарю Вас за любую справку, которую можно дать мне на предмете.

0
задан 12 March 2020 в 03:24

1 ответ

CVE-2020-1938 иначе Ghostcat

Desciption: При использовании Apache протокола JServ (AJP) заботу нужно соблюдать при доверении входящих соединений с Tomcat Apache. Tomcat рассматривает соединения AJP, поскольку наличие выше доверяет, чем, например, подобное HTTP-соединение. Если такие соединения доступны взломщику, они могут быть использованы способами, которые могут быть удивительными. В Tomcat Apache 9.0.0. M1 к 9.0.0.30, 8.5.0 к 8.5.50 и 7.0.0 к 7.0.99, Tomcat, поставленный с Коннектором AJP, включенным по умолчанию, это слушало на всех настроенных IP-адресах. Это ожидалось (и рекомендовалось в руководстве по обеспечению безопасности), что этот Коннектор будет отключен если не требуемый. Этот отчет об уязвимости определил механизм, который позволил: - возврат произвольных файлов отовсюду в веб-приложении - обрабатывающий любой файл в веб-приложении как JSP Далее, если веб-приложение позволило загрузку файла и хранило те файлы в рамках веб-приложения (или взломщик смог управлять содержанием веб-приложения некоторыми другими средствами), затем, это, наряду со способностью обработать файл как JSP, сделало удаленное выполнение кода возможным. Важно отметить, что смягчение только требуется, если порт AJP доступен для недоверяемых пользователей. Пользователи, желающие проявлять оборонный подробно подход и блокировать вектор, который разрешает возвращать произвольные файлы и выполнение как JSP, могут обновить до Tomcat Apache 9.0.31, 8.5.51 или 7.0.100 или позже. Много изменений были внесены в конфигурацию Коннектора AJP по умолчанию в 9.0.31 для укрепления конфигурации по умолчанию. Вероятно, что пользователи, обновляющие до 9.0.31, 8.5.51 или 7.0.100 или позже, должны будут внести небольшие изменения в свои конфигурации.

Национальная база данных уязвимости CVE-2020-1938

Redhat объявляет о CVE-2020-1938

0
ответ дан 17 March 2020 в 00:03

Другие вопросы по тегам:

Похожие вопросы: