VARSEL (TLP:CLEAR)

[NCSC-varsel] Kritisk sårbarhet i Apache Tomcat

28-02-2020

NCSC ønsker å varsle om en kritisk sårbarhet i Apache Tomcat som har fått kallenavnet "Ghostcat". Ved utnyttelse kan angriper i visse tilfeller kunne eksekvere vilkårlig kode på web-serveren [3].

Sårbarheten er tildelt CVE-nummer CVE-2020-1938 og kan utnyttes på alle versjoner av Tomcat 9 før 9.0.31, Tomcat 8 før 8.5.51, og Tomcat 7 før

7.0.100 [1][2]. Sårbarheten kan utnyttes dersom man ikke har skrudd av AJP connector, og det er mulig for en angriper å snakke med serveren over port 8009.

 

Beskrivelse

- -----------

Sårbarheten ligger i AJP protokollen og kan ved utnyttelse brukes til å lese filer på web-serveren. Dersom en web-applikasjon muliggjør opplasting av filer vil en angriper også kunne skrive vilkårlige filer til serveren.

 

Det er publisert offentlig tilgjengelig utnyttelseskode på Github. NCSC er ikke kjent med aktiv utnyttelse.

 

 

Anbefalninger

- -------------

NCSC anbefaler at systemeiere som drifter Tomcat-servere oppdaterer disse til en patchet versjon.

 

 

Berørte versjoner:

- ------------------

- 9.0.0.M1 -> 9.0.0.30

- 8.5.0 -> 8.5.50

- 7.0.0 -> 7.0.99

- 6.x

 

 

Patch:

- ------

Apache har publisert følgende patcher for versjon 7, 8 og 9:

- 9.0.31

- 8.5.51

- 7.0.100

 

 

Puls

- ----

Pulsen blir værende på nivå 1 (én).

 

 

Referanser:

[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1938

[2] https://www.zdnet.com/article/ghostcat-bug-impacts-all-apache-tomcat-versions-released-in-the-last-13-years/

[3] https://access.redhat.com/security/cve/cve-2020-1938