Apache Tomcat AJP: Sicherheitslücke (Ghostcat)
Eine chinesische Sicherheitsfirma hat eine Schwachstelle im vom Tomcat genutzten binären Kommunikationsprotokoll Apache JServ Protocol (AJP) aufgezeigt. Diese Schwachstelle wurde auf den Namen „Ghostcat“ getauft und wird unter der CVE-Nummer CVE-2020-1938 geführt.
Nachweislich betroffen sind auch folgende, von e-Spirit bisher empfohlene, Tomcat-Versionsreihen:
- Apache Tomcat 8.x vor Version 8.5.51 und
- Apache Tomcat 9.x vor Version 9.0.31
Die Sicherheitslücke wird als kritisch eingestuft. e-Spirit empfiehlt daher eine zeitnahe Aktualisierung auf eine abgesicherte Tomcat-Version (8.5.51 oder 9.0.31 s.u.).
Weiterhin empfehlen wir, in jeder Installation die AJP-Connector-Konfiguration zu prüfen und ggfs. anzupassen, da in der Konfigurationsdatei {{server.xml }}der AJP-Connector vor den o.g. Versionen standardmäßig aktiviert war.
Zwischenzeitlich wurden die Apache Tomcat Versionen 8.5.51 und 9.0.31 veröffentlicht, die als abgesichert gelten und das zugrundeliegende Konfigurationsproblem in der Standardkonfiguration beheben.
Mit diesen Versionen wurde das Standardverhalten des AJP-Connectors geändert:
- Der AJP-Connector hört in der Standardeinstellung nur noch auf die Loopback-Adresse (vorher alle).
- Zusätzlich muss nun ein Secret für die Verbindung angegeben werden. (Bei Bedarf kann die Secret-Pflicht auch durch den Parameter secretRequired geändert werden.)
Für die notwendigen Anpassungen konsultieren Sie bitte den Migrationsleitfaden des Apache Tomcats:
Weitere Informationen können auch den Ghostcat-Hinweisen der einzelnen Linux-Distributionen entnommen werden, z. B. für RHEL: access.redhat.com/solutions/4851251