Exploitation d'une vulnérabilité dans le connecteur AJP de Apache Tomcat
Plusieurs exploits de la vulnérabilité CVE-2020-1938 ont été découverts dans le protocole Apache JServ Protocol (AJP) de Apache Tomcat et qui est activé par défaut. Ce dernier permet de rediriger des connexions entrantes d’un serveur web vers un serveur d’application. Le serveur d’application apache considère les connexions AJP ayant une confiance très élevée. Un attaquant ayant la capacité de se connecter directement sur le connecteur AJP peut provoquer une atteinte à la confidentialité des données et éventuellement d’exécuter du code arbitraire à distance.
DATE DE DÉCOUVERTE: 24 février 2020.
SYSTÈMES AFFÈCTÉS:
- Apache Tomcat 6 toutes versions
- Apache Tomcat 7 versions antérieures à 7.0.100
- Apache Tomcat 8 versions antérieures à 8.5.51
- Apache Tomcat 9 versions antérieures à 9.0.31
RISQUES:
- Porter atteinte à la confidentialité des données ,
- Éxécution du code arbitraire à distance.
SOLUTION - PARADE:
Se référer aux bulletins de sécurité de Apache pour l'obtention des correctifs (cf. section RÉFÉRENCES).
RÉFÉRENCES :
- Bulletin de Sécurité Apache Tomcat 9 du 24 février 2020
http://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.31 - Bulletin de Sécurité Apache Tomcat 8 du 24 février 2020
http://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.51 - Bulletin de Sécurité Apache Tomcat 7 du 24 février 2020
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.100 - Référence CVE CVE-2020-1938
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938