Apache Tomcat permitem ataques de negação de serviço (DoS) – foi o título do post feito pelo pessoal da Seginfo, blog mais do que recomendado quando o assunto é segurança.

Comecei a ler o seu conteúdo e me veio a cabeça alguns pontos.

Já vi muita coisa bizarra com servidores Web. Incluindo apresentações, cópias de palestras sobre vulnerabilidades, onde a solução era a simples adição de uma linha no apache. Mas isso é papo para outro post. 😉

Já deixo claro que o post do pessoal da Seginfo está correto:

Algumas vulnerabilidades críticas foram reportadas no Apache Tomcat, que podem ser exploradas por códigos maliciosos permitindo escapar certas restrições de segurança e executar um ataque o DoS (negação de serviço).  Essas vulnerabilidades afetam Apache Tomcat 6.x e Apache Tomcat 7.x.

Seguem as vulnerabilidades abaixo:

  • CVE-2012-3546: Permite escapar restrições de segurança na utilização de FORM Autenticator inserindo no final da URL  /j_security_check;
  • CVE-2012-4431: Permite escapar filtro de prevenção de CSRF caso a requisição seja feita sem o identificador de sessão;
  • CVE-2012-4534: Permite a execução de um ataque de negação de serviço.

Caso tenha sido afetado faça as atualizações para as versões a seguir:

  • Tomcat 7.x: Atualize para a versão 7.0.32.
  • Tomcat 6.x: Atualize para a versão 6.0.36.

Veja mais detalhes no link.

 

Os meus comentários são os seguintes:

TOMCAT é um servidor aplicacional JAVA bem fraquinho, se comparado com o GlassFish, Jboss, WebLogic e WebSphere.

Ele, o Tomcat, não suporta EJB – ele não é um EJB container, limitando assim a sua utilização para uma série de aplicações.

O gato tom é recomedado para aplicações pura e exclusivamente web. Todo o conteúdo dinâmico fica restrito à ele, deixando o Apache responsável pelo balanceamento de carga, controle de sessões HTTP e do conteúdo estático. Isso é um pedido – Utilizem o Apache como FrontEnd Web – ele resolve uma porrada de problemas e diminui e muito a carga junto aos servidores aplicacionais + mod_jk.

Resumindo, se você tem um apache como frontend do seu servidor aplicacional java, seja ele qual for, a responsabilidade por assegurar os ataques que exploram ataques DDoS Layer 7, incluindo a falha CVE-2012-2733  será do velho índio. Boa parte deles – 🙂

É claro que será necessário a instalação e a configuração de alguns módulos, como o mod_security, ou seguir algumas receitas de bolo.

Há vasta documentação que explica como podemos mitigar o CVE-2012-2733, até porque ele já é conhecido. O killapache.pl é uma ferramenta que executa um ataque DDoS Layer  7 deste tipo.. 🙂

Mas, fiquei chateado que a Apache foundation não falou nada do TOMCAT 5.5, versão que será descontinuada no final deste ano, mas que tem uma porrada de gente usando.

Último ponto — cuidado com a atualização de releases de qualquer servidor aplicacional JAVA. Isso pode gerar uma série de dores de cabeça para incompatilibidade de APIs e aplicações.Já vi e muito isso acontecer.

Depois do almoço, eu irei pesquisar se há alguma configuração para o TomCat que auxilie na mitigação do problema..

Compartilhar:

Deixe uma resposta

Fechar Menu