Jetzt patchen: Kritische Lücke "Ghostcat" in Apache-Tomcat-Versionen seit 6.0
Für eine Lücke, die sich 13 Jahre lang in Apache Tomcat verbarg, sind mehrere Proofs-of-Concept verfügbar. Abgesicherte Versionen schließen sie.
(Bild: Shutterstock / Kristina Sorokina)
Chinesische Sicherheitsforscher haben in Apache Tomcat, einem Webserver beziehungsweise -container für in Java geschriebene Webanwendungen, eine kritische Sicherheitslücke entdeckt. Die auf den Namen "Ghostcat" getaufte Lücke steckt in dem von Tomcat genutzten binären Kommunikationsprotokoll Apache JServ Protocol (AJP).
(Bild: chaitin.cn)
Ein entfernter Angreifer könnte die Lücke missbrauchen, um lesend auf beliebige Dateien in den Web-App-Verzeichnissen (etwa Konfigurationsdateien oder Quellcode) zuzugreifen. Sofern die Anwendungen auf dem Server eine Möglichkeit zum Datei-Upload bieten, ist unter Umständen auch die Ausführung von Programmcode durch den Angreifer (Remote Code Execution) möglich.
In einem Eintrag in der National Vulnerability Database (NVD) zu Ghostcat aka CVE-2020-1938 ist der Lücke ein CVSS-v3-Score von 9.8 von möglichen 10 zugeordnet. Sie gilt somit als kritisch und Anwender sollten zeitnah ein Update vornehmen – zumal bei GitHub mindestens fünf Demo-Exploits bereitstehen, deren Code auch von Angreifern missbraucht werden können. Überdies twitterte die Sicherheitsfirma Bad Packets, bereits Angriffsaktivitäten in Gestalt von massenhaften Portscans beobachtet zu haben.
Ausnutzbarkeit mit Einschränkungen
Der Website zu Ghostcat ist zu entnehmen, dass Apache Tomcat in der Default-Konfiguration grundsätzlich via CVE-2020-1938 angreifbar ist. Der Angriff erfolgt über den sogenannten "AJP Connector Service", den Tomcat für die Kommunikation zwischen Web-Apps und Außenwelt via AJP nutzt.
Sofern unbefugte Zugriffe auf den Connector Service Port (Default 8009) konfigurationsbedingt nicht (mehr) möglich sind oder der Service komplett deaktiviert wurde, ist die Lücke laut ihrer Entdecker versionsübergreifend nicht ausnutzbar. Allerdings raten sie dennoch zu einem Update, sofern der Service genutzt wird. Sofern er nicht genutzt werde, solle man ihn deaktivieren oder so konfigurieren, dass er nur noch auf localhost lauscht.
Tomcat seit gut 13 Jahren verwundbar
Laut dem Forscherteam haust Ghostcat schon mindestens seit der im Februar 2007 erschienenen Apache-Tomcat-Version 6.0 in AJP. Nachweislich betroffen sind die Versionsreihen
- Apache Tomcat 6.x (alle Versionen)
- Apache Tomcat 7.x vor Version 7.0.100
- Apache Tomcat 8.x vor Version 8.5.51 und
- Apache Tomcat 9.x vor Version 9.0.31
Ältere Versionen haben die Forscher nach eigenen Angaben nicht auf die Lücke hin untersucht.
Abgesicherte Versionen und weitere Infos
Die Apache Tomcat Versionen 7.0.100, 8.5.51 und 9.0.31 sind abgesichert und stehen zum Download bereit. Sie umfassen unter anderem Änderungen in der Default-Konfiguration des Connector Services.
Die Entdecker der Lücke weisen darauf hin, dass Anwender, die ein Update vornehmen und den AJP Connector Service anschließend weiter nutzen wollen, ein paar manuelle Konfigurationsänderungen vornehmen müssen. Sie erläutern diese auf der Ghostcat-Website im Abschnitt "How can I fix it?".
Weiterhin gibt es separate Hinweise und/oder aktualisierte Tomcat-Packages für Linux-Distributionen und Anwendungen, die Tomcat mitbringen:
(ovw)
