Vulnerabilità Apache Tomcat AJP Connector

21/02/2020

ajp connector ApacheTomcat CVE 2020-1938

È di queste ore la notizia di una vulnerabilità rilevata su Apache Tomcat AJP Connector che consentirebbe la lettura di webapp e delle informazioni contenute nel file web.xml.

Il connettore AJP è generalmente utilizzato per gestire le richieste (interne), solitamente sulla porta 8009, provenienti ad esempio da un Apache HTTP Server. La vulnerabilità, per la quale è stato rilasciato un PoC sulla piattaforma Github, sarebbe di tipo Local File Inclusion (LFI) ma potrebbe essere sfruttata da remoto (RCE) qualora la porta 8009 venga esposta pubblicamente.

Per tale vulnerabilità è stato riservato il CVE-2020-1938 ma al momento non sono state rilasciate specifiche ufficiali.

Risulterebbero affette da questa vulnerabilità le seguenti versioni di Apache Tomcat:

  • Tomcat 6 (non più mantenuta)
  • Tomcat 7.x < 7.0.100
  • Tomcat 8.x < 8.5.51
  • Tomcat 9.x < 9.0.31

Si consiglia comunque di aggiornare Apache Tomcat alle ultime release, in particolare se si sta facendo uso del connettore Apache Tomcat AJP.