Apache Tomcat JK(mod_jk)Connector是一款为Apache或IIS提供连接后台Tomcat的模块,它支持集群和负载均衡等。此漏洞是由于Apache Tomcat Web服务器(httpd)用于规范请求路径的代码,在匹配Apache Tomcat JK(mod_jk)连接器中的URI-Worker映射之前,没有正确处理某些边缘情况(如过滤“;”)而导致。攻击者利用此漏洞可通过构造恶意请求,实现访问控制绕过。
apache和tomcat总体有两种连接方式
第一种:通过http_connector或ajp_connector协议,把请求代理到tomcat
第二种:通过连接mod_jk模块
影响范围
Apache Group Tomcat JK(mod_jk)Connector2.0-1.2.44
漏洞验证
正常访问http://IP/jkstatus,返回无权限访问的页面。
在路径 /jkstatus 后加上“;”,再次访问,成功绕过访问限制。
FOFA搜索该资产:
jkstatus
1、升级到Apache Tomcat JK ISAPI Connector 1.2.46或更高版本。
2、使用替代措施(例如,远程地址过滤器)来限制访问受信任的用户
原文始发于微信公众号(增益安全):Apache mod_jk访问控制的绕过漏洞(CVE-2018-11759)
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论