| Разработчики: | Apache Software Foundation (ASF) |
| Дата премьеры системы: | 1999/06/15 |
| Дата последнего релиза: | 2020/02/29 |
| Технологии: | Серверные платформы |
Содержание |
Apache Tomcat - контейнер сервлетов с открытым исходным кодом.
2020: Уязвимость Ghostcat, позволяющая перехватить управление системой
29 февраля 2020 года стало известно о том, что в сервере приложений Apache Tomcat обнаружена серьезная уязвимость, позволяющая перехватить управление уязвимыми системами. Проблема, получившая название Ghostcat, затрагивает все версии Apache Tomcat, выпущенные за последние 13 лет.
По информации компании, уязвимость содержится в протоколе Apache JServ Protocol (AJP) - двоичном протоколе, обеспечивающем передачу входящих запросов с web-сервера до сервера приложений. AJP коннектор по умолчанию включен на всех серверах Tomcat и слушает порт 8009.
По словам специалистов китайской компании Chaitin, Ghostcat (CVE-2020-1938, CNVD-2020-10487) может использоваться для чтения/записи файлов на сервер Tomcat. К примеру, атакующие могут получить доступ к конфигурационным файлам приложения и украсть пароли либо записать файлы на сервер (бэкдоры, web-шеллы и т. д.). Последнее возможно только в том случае, если какое-либо приложение на сервере разрешает загрузку файлов.Цифровизация ТЭК: тренды, перспективы, крупнейшие ИТ-поставщики. Обзор TAdviser 
Уязвимости подвержены следующие ветки Apache Tomcat:
- Apache Tomcat 9.x < 9.0.31
- Apache Tomcat 8.x < 8.5.51
- Apache Tomcat 7.x < 7.0.100
- Apache Tomcat 6.x
Корректирующие обновления на февраль 2020 года доступны для релизов Tomcat 7.x , Tomcat 8.x , и Tomcat 9.x , за исключением ветки 6.x, поддержка которой была прекращена в 2016 году. Согласно результатам поиска BinaryEdge, на февраль 2020 года в Сети доступно более миллиона Tomcat-серверов. Кроме того, с момента публикации информации о проблеме на GitHub уже появился ряд PoC-кодов [ 1 , 2 , 3 , 4 , 5 ] для тестирования и осуществления атак Ghostcat [1].
2015: Описание Apache Tomcat
Продукт исполняет спецификацию сервлетов, спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF). Написан на языке Java.
Tomcat позволяет запускать веб-приложения, содержит ряд программ для самоконфигурирования.
Скриншот окна страницы сервера Tomcat, 2013
Сервер используется в качестве самостоятельного веб-сервера, в качестве сервера контента в сочетании с веб-сервером Apache HTTP Server, в качестве контейнера сервлетов в серверах приложений JBoss и GlassFish.
Разработку и поддержку Tomcat ведет фонд Apache Software Foundation и добровольцы. Пользователи имеют свободный доступ к исходным кодам и бинарным файлам Tomcat согласно лицензии Apache License 2.0. Номера версий Tomcat начинаются с 3.0.x (предыдущие версии Sun выпустила для внутреннего пользования).
Примечания
Лучшие интеграторы данного продукта по годам
Данные не найдены
Данные не найдены
Данные не найдены
Данные не найдены
| Интегратор | на базе продукта |
|---|---|
| R-Style (Эр-Стайл) ГК | 1 |
| ФОРС - Центр разработки | 1 |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (89) X-Com (Икс ком) (54) Крок (35) Астерос (34) Инфосистемы Джет (34) Другие (1075) X-Com (Икс ком) (10) Softline (Софтлайн) (6) Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (5) Крок (4) Delta Computers (Дельта Компьютерс) (3) Другие (53) Крикунов и Партнеры Бизнес Системы (КПБС, KPBS, Krikunov & Partners Business Systems) (3) Мобильные ТелеСистемы (МТС) (3) Почта России (2) Селектел (Selectel) (2) Гагар.ИН (1) Другие (24)Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Lenovo Data Center Group (1, 6) Lenovo (1, 6) SOTI (1, 3) КНС Групп (Yadro) (1, 3) IBM (2, 2) Другие (18, 20) Селектел (Selectel) (1, 2) Softline (Софтлайн) (1, 1) Гагар.ИН (1, 1) Delta Computers (Дельта Компьютерс) (1, 1) Hewlett Packard Enterprise (HPE) (1, 1) Другие (7, 7) Аладдин Р.Д. (Aladdin R.D.) (1, 2) Softline (Софтлайн) (1, 1) КНС Групп (Yadro) (1, 1) Шаркс Датацентр (Sharx DC) (1, 1) Delta Computers (Дельта Компьютерс) (1, 1) Другие (7, 7)Распределение систем по количеству проектов, не включая партнерские решения
Microsoft Active Directory - 32 Oracle Exadata Database Machine - 21 Oracle WebLogic Server - 20 Microsoft System Center Operations Manager (SCOM) - 18 Lenovo ThinkSystem - 17 Другие 356 Lenovo ThinkSystem - 6 Soti Mobicontrol - 3 Yadro Сервер - 3 Ngenix Облачная платформа - 2 Dell EMC PowerEdge - 2 Другие 15 Selectel Выделенные серверы - 2 Альт Сервер - 1 Softline HaaS: оборудование как сервис - 1 Lenovo ThinkSystem - 1 Delta Solutions: Tioga Pass Серверы с архитектурой Open Compute Project (OCP) - 1 Другие 5 JaCarta Authentication Server (JAS) - 2 TimeVisor Сервер единого времени - 1 Lenovo ThinkSystem - 1 Depo Storm - 1 Yadro Сервер - 1 Другие 4 
