A falha é dada pelo CVE-2020-1938, residindo no protocolo Tomcat AJP (Apache JServ Protocol)

Este protocolo é binário, permitindo fazer pedidos inbound a partir de um servidor web para um servidor aplicacional que esteja atrás do mesmo.

Está classificada como sendo altamente crítica, podendo o atacante, se explorada a falha com sucesso, ler ou escrever nos diretórios da aplicação do Tomcat. Se a aplicação tiver a funcionalidade de upload, o atacante pode executar código de forma arbitrária.

O Tomcat Connector permite que o Tomcat se ligue para o exterior, ativando o Catalina para receber pedidos da Internet pública e passando os mesmos à respetiva aplicação web para processamento e retorno da respetiva resposta.

São usados normalmente dois conetores - HTTP Connector e AJP Connector, sendo que este último usa a porta 8009.

O que agrava a falha é precisamente o facto de o atacante conseguir roubar passwords ou tokens de API caso explore a mesma de forma bem sucedida e consiga ler ficheiros de configuração.

Versões afetadas:

Apache Tomcat 9.x < 9.0.31 Apache Tomcat 8.x < 8.5.51 Apache Tomcat 7.x < 7.0.100 Apache Tomcat 6.x

Para fazer a atualização, pode ler-se o advisory oficial: https://access.redhat.com/solutions/4851251

Mais informações: https://www.zdnet.com/article/ghostcat-bug-impacts-all-apache-tomcat-versions-released-in-the-last-13-years/