[KB7459] Wie kann ich meinen Apache Tomcat gegen CVE-2020-1938 absichern?

Problem

  • Sie verwenden eine Apache-Tomcat-Version, die von der Sicherheitslücke CVE-2020-1938 betroffen ist.
  • Der mit ESMC 7.1 vertriebene Tomcat 9.0.22 ist ebenfalls von der Schwachstelle betroffen.

Einzelheiten

Die Beschreibung der Schwachstelle finden Sie hier: CVE-2020-1938.

Betroffene Apache Tomcat-Versionen:

  • 9.0.0.M1 - 9.0.0.30
  • 8.5.0 - 8.5.50
  • 7.0.0 - 7.0.99

In den betroffenen Versionen behandelt der Apache Tomcat AJP-Verbindungen als vertrauenswürdiger als andere Verbindungen. ESET Security Management Center und ESET Remote Administrator verwenden den AJP-Connector nicht.

Lösung

Es gibt drei mögliche Lösungen für dieses Problem. Sie brauchen nur eine davon anzuwenden:

Lösung 1: Aktualisieren Sie die Apache-Tomcat-Version mit dem All-in-One-Installationsprogramm

Verwenden Sie das ESMC 7.1.27.2 All-in-One-Installationsprogramm für Windows, um Ihren Apache Tomcat zu aktualisieren. Lesen Sie diesen KB-Artikel mit detaillierten Anweisungen.

Lösung 2: AJP Port blockieren

Blockieren Sie den Apache JServ Protocol (AJP)-Port 8009 für eingehende Verbindungen in Ihrer Firewall.

Windows Nutzer

Windows Server blockiert den Port normalerweise standardmäßig, aber Sie können eine neue explizite Regel erstellen, um den Port zu blockieren. Wenn Sie Ihre Firewall durch ein Sicherheitsprodukt verwalten, verwenden Sie das Produkt, um eine Regel zum Blockieren eingehender Verbindungen auf Port 8009 zu erstellen.

Mit dem folgenden Befehl können Sie überprüfen, ob der Port geöffnet ist:

netstat -ano | findstr 8009

Linux Nutzer

Stellen Sie sicher, dass Sie den Port 8009 mit Ihrem Sicherheitsprodukt oder über das Linux-Dienstprogramm iptables blockieren.

Wenn Sie iptables verwenden, führen Sie folgenden Befehl als Superuser aus:

iptables -A INPUT -j DROP --destination-port 8009

Mit dem folgenden Befehl können Sie überprüfen, ob der Port geöffnet ist:

ss -a | grep 8009

ERA / ESMC Virtual Appliance Nutzer

Es sind keine Maßnahmen erforderlich. Die Firewall auf der Appliance ist so voreingestellt, dass alle Verbindungen, die nicht mit ESET Produkten in Verbindung stehen, blockiert werden.

Lösung 3: AJP Connector deaktivieren

Deaktivieren Sie den AJP-Connector in der Tomcat-Konfiguration. Verwenden Sie dies, wenn Sie Port 8009 weiterhin verwenden müssen.

  1. Öffnen Sie die Tomcat-Konfiguration zur Bearbeitung:

Windows: C:\Program Files\Apache Software Foundation\[ Tomcat folder ]\conf\server.xml

Linux: /etc/tomcat9/server.xml

  1. Suchen Sie nach "8009" und kommentieren Sie die Zeile bzgl. des AJP-Protokolls aus:

  1. Speichern Sie die Änderungen in der Datei.

  2. Starten Sie den Apache Tomcat-Dienst neu.
    Windows
    1. Klicken Sie auf Start → Ausführen, geben Sie services.msc ein und klicken Sie dann auf OK.

      Windows Server 201x Nutzer: Klicken Sie auf die Windows-Taste + R, geben Sie services.msc ein und drücken Sie die Eingabetaste.

    2. Suchen Sie den Apache-Tomcat-Dienst, klicken Sie auf den Dienst und wählen Sie Neustart.

     

    Linux
    Führen Sie den folgenden Befehl im Terminal aus:

    Linux Distribution Befehl
    Debian und Ubuntu Distributionen sudo service tomcat9 restart
    CentOS, Red Hat und Fedora Distributionen sudo service tomcat restart
    OpenSUSE Distribution sudo service tomcat restart
    Linux mit systemd  sudo systemctl restart tomcat.service

Zusätzliche Hilfestellung