Исследователи из китайской компании Chaitin Tech выявили уязвимость (CVE-2020-1938) в Apache Tomcat, открытой реализации технологий Java Servlet, JavaServer Pages, Java Expression Language и Java WebSocket. Уязвимости присвоено кодовое имя Ghostcat и критический уровень опасности (9.8 CVSS). Проблема позволяет в конфигурации по умолчанию через отправку запроса по сетевому порту 8009 прочитать содержимое любых файлов из каталога web-приложения, в том числе файлов с настройками и исходных текстов приложения...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52459

• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 22:47 , 29-Фев-20
• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 22:58 , 29-Фев-20
  • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,пох., 23:02 , 29-Фев-20
    • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 23:57 , 29-Фев-20
      • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,лютый жабби, 06:58 , 01-Мрт-20
        • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,КО, 07:50 , 01-Мрт-20
        • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,macfaq, 09:44 , 01-Мрт-20
          • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 22:46 , 01-Мрт-20
        • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 11:51 , 01-Мрт-20
  • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 10:40 , 01-Мрт-20
    • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,And, 22:05 , 01-Мрт-20
      • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,And, 22:06 , 01-Мрт-20
        • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,пох., 07:36 , 02-Мрт-20
• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Gemorroj, 23:14 , 29-Фев-20
  • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 23:16 , 29-Фев-20
• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 23:21 , 29-Фев-20
• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,neAnonim, 23:53 , 29-Фев-20
  • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Java omnomnom your memory linux, 01:21 , 01-Мрт-20
    • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 01:26 , 01-Мрт-20
      • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Красноглазик, 19:22 , 02-Мрт-20
    • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 13:45 , 01-Мрт-20
    • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Junker, 16:45 , 01-Мрт-20
  • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Красноглазик, 18:54 , 02-Мрт-20
    • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Ээээ, 17:04 , 03-Мрт-20
• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 00:10 , 01-Мрт-20
  • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аномном, 06:32 , 01-Мрт-20
    • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 14:11 , 01-Мрт-20
      • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,neAnonim, 15:24 , 01-Мрт-20
        • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,пох., 07:39 , 02-Мрт-20
• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,лютый жабби, 06:42 , 01-Мрт-20
  • Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,Аноним, 08:13 , 01-Мрт-20
• Уязвимость в Apache Tomcat, позволяющая подставить JSP-код и...,КО, 07:52 , 01-Мрт-20

> AJP

Хорошую вещь АЖЭПЭ не назовут.

>Подразумевается, что доступ к AJP открыт только для доверенных серверов, но на деле в конфигурации по умолчанию Tomcat осуществлялся запуск обработчика на всех сетевых интерфейсах

Небезопасна конфигурация по-умолчанию бэкдором называется.

эксперты опеннета...

Что не так? Сделать конфигурацию по-умолчанию небезопасной - это гарантированный способ заиметь небезопасные установки при массовом использовании софта. Это очевидно. А потом нагибать.

Это как в сборку винды вставить радмин, активировать и настроить его по-умолчанию под удаленный доступ и выложить на торренты. Можно сказать, что пользователи сами виноваты, что качают и ставят и используют что попало ... но факта того, что при массовом использовании этой сборки будут установки с радмином, это не меняет.

>Что не так?

Ты не так.

Порт 8009 надо ещё на фаеволе открыть, а уже лет так 15 принято "открываем то, что нужно", а не "закрываем то, что ненужно".

Проверил, госуслуги и наложку - на всех есно эксплоиты не работают. Ну ок, пусть в инете остаются 1.2млн васян страниц проектов, у которых даже админа нет. Там небось в 95% и содержимого нет кроме дефолтной index.jsp.

"Проверил, госуслуги и наложку - на всех есно эксплоиты не работают"
Эти нет

> Порт 8009 надо ещё на фаеволе открыть, а уже лет так 15 принято "открываем то, что нужно", а не "закрываем то, что ненужно".

А ты юморист.

почему?
если закрыть все входящие порты кроме 2-3х нужных глупые "уязвимости" вроде этой и memcached открытого всем, тебя не коснутся.
Даже если случайно не уследишь за чем-то, всё равно соединиться не смогут.

К вам ещё не приехали?

Это обычная уязвимость, примерно 100% дефолтных конфигураций так выглядят. В интернете во всех гайдах тоже всегда предлагают биндить на все интерфейсы, потом имеем что имеем.

Да как-то всегда netstat -antpu

И тупить на результат до устранения 0.0.0.0 из левого столбца.

Когда у тебя там кроме 0.0.0.0 только 127.0.0.1 - можешь не тупить.

А когда ты перестанешь быть админом локалхоста - прекрасное время, когда можно было тупить в экран - кончится. На большую часть своих томкэтовых хостов ты вообще зайдешь ровно ноль раз.

А настройки - скопипастишь те, что тебе прислал разработчик. Понятия не имея, что они, заодно, включают кластерный сервис вместе с api.

но ведь жава безопасная, не то что пхп. (говорили они)

А ты сегодня уже выполнял third-party код через выполнение file_exists() над phar:// ?

Разве в SpringBoot ajp не надо включать отдельно?

Выражаю пренебрежение к java и всем завязанным на ней технологиях.

Есть оперативка, а если ещё осталось? Linux memory model (c)
проблемы есть у всего, так шо в этом контексте джава норм, а вообще котлин лучше

Как будто Kotlin-приложения под Tomcat не уязвимы к данной проблеме.

здесь этой проблемы нет, котлин в вебе мертв.

> Оперативка есть? А если найду?! (c) java memory model.

Оперативка есть?... А если найду? (с)

А что не так собственно с java, только хочется нормальной критики, а не вроде *амно много памяти жрет и всё в таком духе.

После 8-ки вразнос пошла. Все эти попытки псевдо-функционалку приколотить гвоздями. Получилось даже хуже, чем с обобщениями.
А так, вполне норм. Хорошо изучена, хорошо документирована, обширное сообщество (и даже иногда вполне знающие и адекватные представители в нём попадаются).

Пофиг, как будто найдётся такой идиот, кто выставит этот порт наружу

1.2 млн идиотов

Ничтожная доля всех вообще существующих идиотов, имеющих компьютеры.

но существенная среди тех, кто зарабатывает разработкой софта

они обычно сами томкэтов не ставят, если только на своем локалхосте, где оно как раз вполне безопастно. Ставят задачу девляпсу - "развернуть двадцать томкэтов в amazon cloud".
И готовый шаблон ему, найденый на stackoveflow где-то рядом с тем кодом, который они якобы-разработали.

А тот про tomcat вообще знает примерно ничего.

НОВОСТЬ БЕЗГРАМОТНО СОСТАВЛЕНА.

В wildfly ajp надо:
1. руками включить
2. открыть порт 8009

на 1.2млн дырявых жаб с васян-проектами или пустой заглушкой, есть 120 млн дырявых пыхов с васян-страничками. кому они нужны?

В некоторых профилях он включён по умолчанию: "The AJP connector is enabled by default only in standalone-full-ha.xml, standalone-ha.xml and ha and full-ha profiles in domain.xml."

"начиная с выпущенной 13 лет назад"
Вот на чем шантаж основывают всякие кулхацкеры. Когда их методы палят - ищут другие.