Am 20.02. veröffentlichte ein Security-Engineer von Alibaba auf Twitter einen Hinweis auf eine unbekannte Lücke im Apache/Tomcat, wenn der AJP-Connector benutzt wird:
Betroffen sind alle Versionen der Versionszweige 7/8/9
Die Apache-Foundation hat zwar am 11.02. ein Update herausgegeben, aber noch keine Releasenotes dazu veröffentlicht.
Die ersten POCs sind sind bereits nach weniger als 6h verfügbar:
Mitigation
- Umstellen von AJP auf HTTP-Connector
- Upgrades auf die aktuelle Version
Updates
- 2020-02-20 - POCs sind in Kürze zu erwarten
- 2020-02-21 - Read-File-POC verfügbar (ungetestet)
Die [Luup] - Kunden wurden bereits informiert.
Referenzen
Fragen? Kontakt: info@zero.bs