[KB7459] Proteja su Apache Tomcat ante la vulnerabilidad CVE-2020-1938

Escenario

  • Usted utiliza una versión de Apache Tomcat afectada por la vulnerabilidad CVE-2020-1938
  • Tomcat 9.0.22 distribuido con ESMC 7.1 también se encuentra afectado por esta vulnerabilidad 

Detalles

Vea la descripción de la vulnerabilidad aquí: CVE-2020-1938.

Las versiones afectadas de Apache Tomcat son:

  • 9.0.0.M1 - 9.0.0.30
  • 8.5.0 - 8.5.50
  • 7.0.0 - 7.0.99

En las versiones afectadas, Apache Tomcat considera a las conexiones AJP como poseedoras de una mayor confianza respecto a otras conexiones. ESET Security Management Center y ESET Remote Administrator no utilizan el conector AJP. 

Solución

Existen tres posibles soluciones al inconveniente. Necesita aplicar solamente una de ellas:

Solución 1: Bloquée el puerto AJP (recomendado)

Bloquee el puerto 8009 de Apache JServ Protocol (AJP) para las conexiones entrantes en su firewall:

Usuarios de Windows

Windows Server usualmente bloquea el puerto de manera predeterminada, pero puede crear una regla específica para bloquear el puerto. Si administra su firewall con un porducto de seguridad, utilice ese producto para crear una regla que bloquee las conexiones entrantes al puerto 8009.

Puede verificar si el puerto se encuentra abierto utilizando el siguiente comando:

netstat -ano | findstr 8009

Usuarios de Linux

Asegúrese de bloquear el puerto 8009 utilizando su producto de seguridad o mediante la utilidad iptables de Linux 

Si usa iptables, ejecute el siguiente comando como superusuario:

iptables -A INPUT -j DROP --destination-port 8009

Puede verificar si el puerto se encuentra abierto mediante el siguiente comando:

ss -a | grep 8009

Usuarios de ERA / ESMC Virtual Appliance

No se requiere acción. El firewall sobre el Appliance se encuentra predefinido para bloquear todas las conexiones no relacionadas a productos ESET.


Solución 2: Deshabilite el conector AJP

Deshabilite el conector AJP en le configuración de Tomcat. Opte por esta solución si necesita continuar utilizando el puerto 8009.

  1. Abra la configuración de Tomcat para editarla:

Windows: C:\Program Files\Apache Software Foundation\[ Tomcat folder ]\conf\server.xml

Linux: /etc/tomcat9/server.xml

  1. Busque "8009" y comente la linea acerca del protocolo AJP:
Figure 1-1
  1. Guarde los cambios realizados.

  2. Reinicie el servicio de Apache Tomcat.
Windows
  1. Haga clic en Inicio Ejecutar, escriba services.msc y luego haga clic en Aceptar
    Usuarios de Windows Server 201x: presione la tecla de Windows + R, escriba services.msc y luego oprima Enter.

  2. Localice el servicio Apache Tomcat, haga clic sonbre el servicio y seleccione reinciar

 

Linux
Ejecute el siguiente comando en la terminal:

Distribución de Linux Comando
Debian y Ubuntu sudo service tomcat9 restart
CentOS, Red Hat y Fedora sudo service tomcat restart
OpenSUSE sudo service tomcat restart
Linux con systemd  sudo systemctl restart tomcat.service

Solución 3: Actualice manualmente la versión de Apache Tomcat

Actualice manualmente Apache Tomcat hacia una versión no afectada: 9.0.31, 8.5.51, 7.0.100 o posterior. La actualización manualmente no es recomendable para usuarios inexpertos ya que podrían perderse los ajustes de Tomcat.

Asistencia adicional