Apache Tomcat

Продукт
Разработчики: Apache Software Foundation (ASF)
Дата премьеры системы: 1999/06/15
Дата последнего релиза: 2020/02/29
Технологии: Серверные платформы

Содержание

Apache Tomcat - контейнер сервлетов с открытым исходным кодом.

2020: Уязвимость Ghostcat, позволяющая перехватить управление системой

29 февраля 2020 года стало известно о том, что в сервере приложений Apache Tomcat обнаружена серьезная уязвимость, позволяющая перехватить управление уязвимыми системами. Проблема, получившая название Ghostcat, затрагивает все версии Apache Tomcat, выпущенные за последние 13 лет.

Ghostcat

По информации компании, уязвимость содержится в протоколе Apache JServ Protocol (AJP) - двоичном протоколе, обеспечивающем передачу входящих запросов с web-сервера до сервера приложений. AJP коннектор по умолчанию включен на всех серверах Tomcat и слушает порт 8009.

По словам специалистов китайской компании Chaitin, Ghostcat (CVE-2020-1938, CNVD-2020-10487) может использоваться для чтения/записи файлов на сервер Tomcat. К примеру, атакующие могут получить доступ к конфигурационным файлам приложения и украсть пароли либо записать файлы на сервер (бэкдоры, web-шеллы и т. д.). Последнее возможно только в том случае, если какое-либо приложение на сервере разрешает загрузку файлов.

Уязвимости подвержены следующие ветки Apache Tomcat:

  • Apache Tomcat 9.x < 9.0.31
  • Apache Tomcat 8.x < 8.5.51
  • Apache Tomcat 7.x < 7.0.100
  • Apache Tomcat 6.x

Корректирующие обновления на февраль 2020 года доступны для релизов Tomcat 7.x , Tomcat 8.x , и Tomcat 9.x , за исключением ветки 6.x, поддержка которой была прекращена в 2016 году. Согласно результатам поиска BinaryEdge, на февраль 2020 года в Сети доступно более миллиона Tomcat-серверов. Кроме того, с момента публикации информации о проблеме на GitHub уже появился ряд PoC-кодов [ 1 , 2 , 3 , 4 , 5 ] для тестирования и осуществления атак Ghostcat [1].

2015: Описание Apache Tomcat

Продукт исполняет спецификацию сервлетов, спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Написан на языке Java.

Tomcat позволяет запускать веб-приложения, содержит ряд программ для самоконфигурирования.

Скриншот окна страницы сервера Tomcat, 2013

Сервер используется в качестве самостоятельного веб-сервера, в качестве сервера контента в сочетании с веб-сервером Apache HTTP Server, в качестве контейнера сервлетов в серверах приложений JBoss и GlassFish.

Разработку и поддержку Tomcat ведет фонд Apache Software Foundation и добровольцы. Пользователи имеют свободный доступ к исходным кодам и бинарным файлам Tomcat согласно лицензии Apache License 2.0. Номера версий Tomcat начинаются с 3.0.x (предыдущие версии Sun выпустила для внутреннего пользования).

Примечания





Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2017 год
2018 год
2019 год
Текущий год

  IBM (87, 92)
  Microsoft (13, 57)
  Oracle (39, 37)
  Dell EMC (25, 27)
  Fujitsu (17, 21)
  Другие (281, 173)

  Microsoft (1, 4)
  IBM (2, 3)
  Oracle (1, 3)
  Dell EMC (1, 3)
  РСК (группа компаний, ранее - РСК Скиф) (1, 2)
  Другие (13, 13)

  Dell EMC (4, 7)
  Oracle (3, 4)
  Bull (Atos IT Solutions And Services) (2, 4)
  Fujitsu (3, 3)
  Cisco Systems (2, 3)
  Другие (19, 21)

  Dell EMC (3, 7)
  Bull (Atos IT Solutions And Services) (2, 3)
  Softline (Софтлайн) (1, 2)
  Скала-Р (ранее InterLab IBS) (1, 2)
  Lenovo (1, 2)
  Другие (9, 10)

  Hewlett Packard Enterprise (HPE) (1, 2)
  Softline (Софтлайн) (1, 2)
  Dell EMC (1, 2)
  Адвантум (Advantum) (1, 1)
  Red Hat (1, 1)
  Другие (9, 9)

Распределение базовых систем по количеству проектов, включая партнерские решения

За всю историю
2017 год
2018 год
2019 год
Текущий год