Vulnerabilidad en las conexiones de Apache JServ Protocol (AJP) en Apache Tomcat (CVE-2020-1938)

Cuando se usa el Apache JServ Protocol (AJP), se debe tener cuidado cuando se confía en las conexiones entrantes a Apache Tomcat. Tomcat trata las conexiones de AJP como teniéndoles la mayor confianza que, por ejemplo, una conexión HTTP similar. Si tales conexiones están disponibles para un atacante, pueden ser explotadas de manera sorprendente. En Apache Tomcat versiones 9.0.0.M1 hasta 9.0.0.30, versiones 8.5.0 hasta 8.5.50 y versiones 7.0.0 hasta 7.0.99, Tomcat se envió con un conector de AJP habilitado por defecto que escuchaba sobre todas las direcciones IP configuradas. Se esperaba (y se recomienda en la guía de seguridad) que este conector sea deshabilitado si no es requerido. Este reporte de vulnerabilidad identificó un mecanismo que permitía: - devolver archivos arbitrarios desde cualquier lugar de la aplicación web - procesar cualquier archivo en la aplicación web como JSP. Además, si la aplicación web permitía cargar archivos y almacenarlos dentro de la aplicación web (o el atacante fue capaz de controlar el contenido de la aplicación web por otros medios) y esto, junto con la capacidad de procesar un archivo como JSP, hizo posible una ejecución de código remota. Es importante notar que la mitigación solo es requerida si un puerto AJP es accesible por usuarios no confiables. Los usuarios que deseen adoptar un enfoque de defensa en profundidad y bloquear el vector que permite la devolución de archivos arbitrarios y una ejecución como JSP pueden actualizar a Apache Tomcat versiones 9.0.31, 8.5.51 o 7.0.100 o posterior. Se realizaron un número de cambios en la configuración predeterminada del conector AJP en la versión 9.0.31 para fortalecer la configuración predeterminada. Es probable que los usuarios que actualicen a versiones 9.0.31, 8.5.51 o 7.0.100 o posterior necesitarán llevar a cabo pequeños cambios en sus configuraciones.