Apache Tomcat’de 13 Yıllık Zafiyet Keşfedildi

Genellikle Tomcat Server olarak anılan Apache Tomcat yazılımı, Java Servlet, JSP(Java Server Pages), Java programlama dili ve Java WebSocket gibi JavaEE teknolojilerinin açık kaynak kodlu bir uygulamasıdır ve Java kodunun çalışabileceği bir HTTP web sunucusu ortamı sağlar.

Bir güvenlik uzmanın keşfettiği ve Ghostcat olarak tanımlanan zafiyet tüm Tomcat versiyonlarını etkilediğini açıkladı.

Ghostcat güvenlik açığından yararlanılarak, bir saldırgan Tomcat’te yayınlanan tüm web uygulamalarının yapılandırma dosyalarının ve kaynak kodu dosyalarının içeriğini okuyabilir. Ayrıca saldırganların sunucuda uzaktan kod yürütülmesini sağlayan kötü amaçlı JSP yüklemelerine olanak tanıyor.

Güvenlik açığı CVE-2020-1938 kodu ile izlenebilirken ve Tomcat 9/8/7/6’nın tüm sürümlerini etkiliyor.

Etkilenen sürümler şöyle

Apache Tomcat bu güvenlik açığını gidermek için 9.0.31, 8.5.51 ve 7.0.100 sürümleri yayınlandı.

Güvenlik açığını gidermek veya en aza indirmek için yapılacak birkaç adım var.

Bunlar şöyle:

Bu güvenlik açığını doğru bir şekilde gidermek için, önce Tomcat AJP Connector hizmetinin sunucu ortamınızda kullanılıp kullanılmadığını belirlemeniz gerekir

Eğer cluster veya reverse proxy kullanılmıyorsa, AJP’nin kullanılmadığını anlayabilirsiniz.

Aksi takdirde, cluster veya reverse sunucunun Tomcat AJP connector hizmetiyle iletişim kurup kurmadığını tespit etmeniz gerekli.

1. AJP Bağlayıcı hizmeti kullanılmıyorsa:

(1) <CATALINA_BASE> /conf/server.xml aşağıdaki satırı düzenleyin

<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ />

(2) Yorum satırı hale getirin (veya silin):

<!–<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ />–>

(3) Düzenlemeyi kaydedin ve ardından Tomcat’i yeniden başlatın.

Yukarıdaki önlemlere ek olarak, elbette, güvenilmeyen kaynakların Tomcat AJP Connector hizmet portuna erişmesini önlemek için güvenlik duvarların da gerekli erişim izinlerini düzenleyiniz

2- AJP Connector hizmeti kullanılıyorsa:

AJP Connector hizmeti kullanılıyorsa, Tomcat’i 9.0.31, 8.5.51 veya 7.0.100 sürümüne yükseltmenizi ve ardından AJP Connector kimlik doğrulama bilgilerini ayarlamak için AJP Connector için “scret” özelliğini yapılandırmanız öneriliyor.

<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ address=”YOUR_TOMCAT_IP_ADDRESS” secret=”YOUR_TOMCAT_AJP_SECRET” />

Yükseltme yapamıyorsanız, AJP Bağlayıcısı için AJP protokolü kimlik doğrulama bilgilerini ayarlamak üzere “requiredSecret” özniteliğini yapılandırabilirsiniz.

<Connector port=”8009″ protocol=”AJP/1.3″ redirectPort=”8443″ address=”YOUR_TOMCAT_IP_ADDRESS” requiredSecret=”YOUR_TOMCAT_AJP_SECRET” />

(Yukarıdaki “YOUR_TOMCAT_AJP_SECRET” i kolayca tahmin edilemeyen veya kırılamayan daha güvenli bir şifre ile değiştirmeyi unutmayınız.)

Kaynak

Exit mobile version