Tomcat AJP漏洞CVE-2020-1938又名Ghostcat

Question

我有一个关于Tomcat漏洞的问题，CVE-2020-1938，也就是Ghostcat。发现该漏洞的安全研究员在这里创建了一个写在这里：https://www.chaitin.cn/en/ghostcat和PoC在这里：https://github.com/YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi。

如果Apache充当Tomcat的反向代理(并使用AJP与其通信)，还是只在直接与Tomcat上的AJP服务通信时，才能利用此漏洞？

当使用Apache作为代理时，我无法让POC工作，但我不知道这是否是因为我缺乏使用Apache、Tomcat和AJP的经验和/或POC中缺乏支持通过这种设置进行攻击的实现，或者如果该漏洞实际上只有在与Tomcat上的AJP服务端口8009直接通信时才能利用。

Answer 1

此漏洞存在于AJP服务器提供的二进制接口中，并且仅对Apache HTTPd可用。除非将AJP端口公开给公共网络，否则不能简单地向Apache发出HTTPd请求就可以利用它。