При использовании протокола Apache JServ (AJP) необходимо проявлять осторожность при доверии входящим соединениям к Apache Tomcat. Tomcat рассматривает AJP соединения как имеющие большую степень доверия, чем, например, аналогичные HTTP соединения. Если такие соединения доступны злоумышленнику, их можно эксплуатировать неожиданными способами. В Apache Tomcat версий 9.0.0.M1 до 9.0.0.30, 8.5.0 до 8.5.50 и 7.0.0 до 7.0.99, Tomcat был поставлен с включенным соединителем AJP по умолчанию, который прослушивал все настроенные IP-адреса. Ожидалось (и рекомендовалось в руководстве по безопасности), что этот соединитель будет отключен, если он не требуется. Этот отчет об уязвимости выявил механизм, который позволял: - возвращать произвольные файлы из любого места в веб-приложении - обрабатывать любые файлы веб-приложения как JSP Более того, если веб-приложение позволяло загрузку файлов и сохраняло эти файлы внутри веб-приложения (или злоумышленник мог контролировать содержимое веб-приложения каким-либо другим способом), то это, вместе с возможностью обрабатывать файл как JSP, делало возможным удаленное выполнение кода. Важно отметить, что смягчения необходимы только в том случае, если порт AJP доступен для ненадежных пользователей. Пользователи, желающие применять подход защитной глубины и блокировать вектор, который позволяет возвращать произвольные файлы и выполнять их как JSP, могут обновиться до Apache Tomcat 9.0.31, 8.5.51 или 7.0.100 или более поздней версии. В версии 9.0.31 было внесено множество изменений в конфигурацию соединителя AJP по умолчанию для повышения защищенности. Вероятно, пользователям, обновляющимся до 9.0.31, 8.5.51 или 7.0.100 или более поздней версии, потребуется внести небольшие изменения в свои конфигурации.