Apache Software Foundation(ASF)發佈了其Tomcat應用服務器的新版本,以解決一個重要的安全漏洞,該漏洞可能允許遠程攻擊者執行惡意代碼並控制受影響的服務器。
Apache Tomcat由ASF開發,是一個開源Web服務器和servlet系統,它使用Java Servlet,JavaServer Pages(JSP),ex pression Language和WebSocket等多種Java EE規範來提供“純Java”HTTP Web服務器環境,用於Java概念的運行。使用enableCmdLineArguments在Windows上運行時,遠程執行代碼漏洞(CVE-2019-0232)駐留在公共網關接口(CGI)Servlet中,這是由於Java運行時環境(JRE)將命令行參數傳遞給Windows的方式存在缺陷造成的。
由於默認情況下禁用了CGI Servlet,並且在Tomcat 9.0.x中默認情況下禁用了其選項enableCmdLineArguments,因此遠程代碼執行漏洞被評為重要而不是非常重要。
為了應對此漏洞,CGI Servlet enableCmdLineArguments選項將在Apache Tomcat的所有版本中默認禁用。
受影響的Tomcat版本
- Apache Tomcat 9.0.0.M1——9.0.17
- Apache Tomcat 8.5.0——8.5.39
- Apache Tomcat 7.0.0——7.0.93
未受影響的Tomcat版本
- Apache Tomcat 9.0.18及更高版本
- Apache Tomcat 8.5.40及更高版本
- Apache Tomcat 7.0.94及更高版本
成功利用此漏洞可能允許遠程攻擊者在運行受影響的Apache Tomcat版本的目標Windows服務器上執行任意命令,從而導致完全淪陷。
該漏洞在2019年3月3日由一名安全研究人員向Apache Tomcat安全團隊報告,並在ASF發佈更新版本後於2019年4月10日公佈。
這個Apache漏洞已經在Tomcat 9.0.19版本、8.5.40版本和7.0.93版本中得到了解決(雖然這個問題在Apache Tomcat 9.0.18中得到了修復,但是9.0.18版本的發佈投票沒有通過)。
因此,強烈建議管理員儘快更新應用軟件。如果您無法立即應用補丁,則應確保CGI Servlet初始化參數的默認enableCmdLineArguments值設置為false。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:https://nosec.org/home/detail/2484.html
原文:https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html
白帽匯從事信息安全,專注於安全大數據、企業威脅情報。
公司產品:FOFA-網絡空間安全搜索引擎、FOEYE-網絡空間檢索系統、NOSEC-安全訊息平臺。
為您提供:網絡空間測繪、企業資產收集、企業威脅情報、應急響應服務。
閱讀更多 NOSEC安全訊息平臺 的文章
