{"id":1902,"date":"2020-03-04T15:59:10","date_gmt":"2020-03-04T20:59:10","guid":{"rendered":"https:\/\/cert.pa\/?p=1902"},"modified":"2020-03-04T15:59:10","modified_gmt":"2020-03-04T20:59:10","slug":"csirt-panama-aviso-2020-03-4-ghostcat-vulnerabilidad-que-afecta-a-todas-las-versiones-de-tomcat","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=1902","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2020-03-4 -GhostCat: vulnerabilidad que afecta a todas las versiones de Tomcat"},"content":{"rendered":"\n<p>Gravedad: Alta<br> Fecha de publicaci\u00f3n: 4 de marzo de 2020<br> Fuente: https:\/\/blog.segu-info.com.ar\/ |https:\/\/www.chaitin.cn\/en\/ghostcat |https:\/\/tomcat.apache.org\/<\/p>\n\n\n\n<p><strong>Sistemas Afectados<\/strong><br> Apache Tomcat 9.x <br> Apache Tomcat 8.x <br> Apache Tomcat 7.x <br> Apache Tomcat 6.x<\/p>\n\n\n\n<p><strong>I.Descripci\u00f3n<\/strong><br> Si actualmente utiliza en su servidor web el servicio Apache Tomcat es importante que actualice a la \u00faltima versi\u00f3n disponible para evitar que alguien tome el control de su servidor sin autorizaci\u00f3n.<\/p>\n\n\n\n<p>Esta vulnerabilidad apodada como Ghostcat . El fallo permite la lectura de ficheros arbitrarios en el servidor a un usuario no autentificado, de esta manera se podr\u00edan leer ficheros de configuraci\u00f3n o el c\u00f3digo de la aplicaci\u00f3n hospedada en el servidor web. Incluso en el caso de existir un uploader en la web, ser\u00eda posible ejecutar c\u00f3digo remoto.<br><\/p>\n\n\n\n<p>El fallo se encuentra en el protocolo Apache JServ Protocol (AJP) es una versi\u00f3n optimizada del protocolo HTTP para permitir que Tomcat se comunique con el servidor web Apache- y surge del manejo inadecuado de uno de sus atributos. Este protocolo viene habilitado por defecto en el puerto TCP 8009, vinculado a la direcci\u00f3n 0.0.0.0.<br><\/p>\n\n\n\n<p>Si el sitio web permite a un usuario subir archivos al servidor, se podr\u00eda subir primero un archivo con el c\u00f3digo del payload en JSP y luego incluir el archivo subido explotando Ghostcat, que finalmente resultar\u00eda en la ejecuci\u00f3n remota de c\u00f3digo. el archivo cargado en s\u00ed puede incluirse bajo cualquier extensi\u00f3n, tanto de im\u00e1genes, como archivos de texto plano, etc.<\/p>\n\n\n\n<p><strong>II.Soluci\u00f3n<\/strong><br> Apache Tomcat ha lanzado oficialmente las versiones 9.0.31, 8.5.51 y 7.0.100 para corregir esta vulnerabilidad.<br> Para corregir esta vulnerabilidad correctamente, primero debe determinar si el servicio Tomcat AJP Connector se usa en su entorno de servidor:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Si no se usa cl\u00faster o proxy inverso, b\u00e1sicamente puede determinar que no se usa AJP.<\/li><li>De lo contrario, debe averiguar si el cl\u00faster o el servidor inverso se est\u00e1 comunicando con el servicio Tomcat AJP Connector.<\/li><li><strong>Si no se utiliza el servicio del conector AJP:<\/strong><br>Si no se utiliza el servicio del conector AJP, puede actualizar Tomcat directamente a la versi\u00f3n 9.0.31, 8.5.51 o 7.0.100 para corregir la vulnerabilidad.<br>Si no puede realizar la actualizaci\u00f3n, puede optar por deshabilitar el conector AJP directamente o cambiar su direcci\u00f3n de escucha al localhost.<\/li><\/ul>\n\n\n\n<p><strong>III. Informaci\u00f3n de contacto<\/strong><br> CSIRT PANAMA<br> Autoridad Nacional para la Innovaci\u00f3n Gubernamental<br> E-Mail: info@cert.pa<br> Web: http:\/\/www.cert.pa<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Alta Fecha de publicaci\u00f3n: 4 de marzo de 2020 Fuente: https:\/\/blog.segu-info.com.ar\/ |https:\/\/www.chaitin.cn\/en\/ghostcat |https:\/\/tomcat.apache.org\/ Sistemas Afectados Apache Tomcat 9.x Apache Tomcat 8.x Apache Tomcat 7.x Apache Tomcat 6.x I.Descripci\u00f3n Si actualmente utiliza en su servidor&#8230;<\/p>\n","protected":false},"author":4,"featured_media":1903,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[],"class_list":["post-1902","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1902","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1902"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1902\/revisions"}],"predecessor-version":[{"id":1904,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/1902\/revisions\/1904"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/1903"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1902"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1902"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1902"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}