情資內容

摘要: Apache JServ Protocol (AJP)存在一個漏洞(CVE-2020-1938)，可於具此漏洞的系統中遠端執行程式碼。IThome於2020/4/18日發布新聞，指出已有中國駭客在臺灣校園網站上傳BiFrost後門程式。請盡速評估進行系統更新。 概述: 在Apache Tomcat安裝時預設啟用了AJP(Apache JServ Protocol)連接器，於系統所有的IP位址上等待AJP連線。該機制允許從Web應用程式中的任何階段傳回任意檔案，並將Web應用程式中的任何檔案當成JSP處理。此外，如果Web應用程式允許檔案上傳並將這些文件存儲在Web應用程式中（或攻擊者能夠通過其他方式控制Web應用程式的內容），然後再加上將檔案當成JSP處理的能力，使得攻擊者可以遠端執行程式碼。 影響平台 Apache Tomcat 9.0.0.M1至9.0.0.30，8.5.0至8.5.50和7.0.0至7.0.99中版本。 緩解措施 1.如果不須使用AJP，則可禁用連接器，例如 從server.xml文件中移除AJP Connector設定項目 2.如果須使用AJP，則可禁止不受信任的用戶經由以下一種或多種方式存取AJP： (1)配置適當的網路防火牆規則。 (2)為連接器配置一個明確的地址屬性，以便連接器在非公共連接埠上等待連線。 (3)為AJP連線配置共用金鑰。 因應對策or建議措施 請評估後於官方網站下載Apache Tomcat 9.0.31、8.5.51或7.0.100或更高版本進行安裝。 9.0.31中的AJP連接器預設配置已進行更改，以強化預設設定。升級到9.0.31、8.5.51或7.0.100或更高版本的時需要對AJP設定進行小範圍更改。 CVSS向量: CVE-2020-1938 使用版本：CVSS 3.1 分析分數：9.8 分析向量：CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 參考連結： 1.NVD https://nvd.nist.gov/vuln/detail/CVE-2020-1938 2.IThome https://www.ithome.com.tw/news/137074 3.Apache https://lists.apache.org/thread.html/r7c6f492fbd39af34a68681dbbba0468490ff1a97a1bd79c6a53610ef%40%3Cannounce.tomcat.apache.org%3E 建議措施： 參考資料： 影響平台：