E’ stato scoperto un nuovo bug: tutte le versioni di Tomcat rilasciate negli ultimi 13 anni sono vulnerabili ad un bug chiamato Ghostcat. Colpisce tutti i rami Tomcat 6.x, 7.x, 8.x e 9.x. Questa vulnerabilità può consentire agli hacker di sfuttare i sistemi senza patch.
Il bug, scoperto dalla società cinese di cibersicurezza Chaitin Tech, è stato chiamato Ghostcat ed è dovuto ad un errore nel protocollo Tomcat AJP. AJP, che sta per Apache JServ Protocol, ed è una versione ottimizzata del protocollo HTTP in formato binario. Tomcat utilizza AJP per scambiare dati con i server Web HTTPD Apache o altre istanze Tomcat.
Sono state rilasciate delle patch per i rami Tomcat 7.x, Tomcat 8.x e Tomcat 9.x, ma non per 6.x, visto è fuori supporto dal 2016.
Secondo Snyk (https://snyk.io/blog/ghostcat-breach-affects-all-tomcat-versions/), anche le app basate sul framework Java Spring Boot sono vulnerabili in quanto dotate di un server Tomcat pre-incluso. Guardando i prodotti di Red Hat, Tomcat viene fornito anche con altri framework e server basati su Java, come JBossWeb e JBoss EAP.
Red Hat consiglia di disabilitare il connettore AJP in Tomcat se non utilizzato o di collegarlo alla porta localhost, poiché la maggior parte dell’uso di AJP è in ambienti cluster e la porta 8009 non dovrebbe mai essere esposta su Internet.
Lascia un commento