Apache Software Foundation(ASF)发布了其Tomcat应用服务器的新版本,以解决一个重要的安全漏洞,该漏洞可能允许远程攻击者执行恶意代码并控制受影响的服务器。
Apache Tomcat由ASF开发,是一个开源Web服务器和servlet系统,它使用Java Servlet,JavaServer Pages(JSP),ex pression Language和WebSocket等多种Java EE规范来提供“纯Java”HTTP Web服务器环境,用于Java概念的运行。使用enableCmdLineArguments在Windows上运行时,远程执行代码漏洞(CVE-2019-0232)驻留在公共网关接口(CGI)Servlet中,这是由于Java运行时环境(JRE)将命令行参数传递给Windows的方式存在缺陷造成的。
由于默认情况下禁用了CGI Servlet,并且在Tomcat 9.0.x中默认情况下禁用了其选项enableCmdLineArguments,因此远程代码执行漏洞被评为重要而不是非常重要。
为了应对此漏洞,CGI Servlet enableCmdLineArguments选项将在Apache Tomcat的所有版本中默认禁用。
受影响的Tomcat版本
- Apache Tomcat 9.0.0.M1——9.0.17
- Apache Tomcat 8.5.0——8.5.39
- Apache Tomcat 7.0.0——7.0.93
未受影响的Tomcat版本
- Apache Tomcat 9.0.18及更高版本
- Apache Tomcat 8.5.40及更高版本
- Apache Tomcat 7.0.94及更高版本
成功利用此漏洞可能允许远程攻击者在运行受影响的Apache Tomcat版本的目标Windows服务器上执行任意命令,从而导致完全沦陷。
该漏洞在2019年3月3日由一名安全研究人员向Apache Tomcat安全团队报告,并在ASF发布更新版本后于2019年4月10日公布。
这个Apache漏洞已经在Tomcat 9.0.19版本、8.5.40版本和7.0.93版本中得到了解决(虽然这个问题在Apache Tomcat 9.0.18中得到了修复,但是9.0.18版本的发布投票没有通过)。
因此,强烈建议管理员尽快更新应用软件。如果您无法立即应用补丁,则应确保CGI Servlet初始化参数的默认enableCmdLineArguments值设置为false。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html