Apache在Tomcat应用服务器中修复了一个高危RCE漏洞

2019年4月16日17:46:23 发表评论

Apache在Tomcat应用服务器中修复了一个高危RCE漏洞

Apache Software Foundation发布了新版本的Tomcat应用程序服务器,可解决重要的远程执行代码漏洞。

Tomcat应用程序服务器的新版本地址一个重要的远程执行代码漏洞,可被远程攻击者利用来执行恶意代码并控制易受攻击的服务器。

在启用enableCmdLineArguments的Windows上运行时,远程代码执行漏洞(跟踪为CVE-2019-0232)驻留在公共网关接口(CGI)Servlet中 。该缺陷与Java Runtime Environment(JRE)将命令行参数传递给Windows的方式联系在一起。

Apache安全工程师详细解释了该漏洞:“在Windows上运行时 enableCmdLineArguments启用后,由于JRE将命令行参数传递给Windows的方式存在错误,CGIServlet很容易受到远程执行代码的攻击。
默认情况下禁用CGIServlet。CGI选项enableCmdLineArguments默认情况下在Tomcat9.0.x中被禁用(并且在所有版本中都会默认禁用以响应此漏洞。”

该漏洞被评为唯一重要,因为默认情况下禁用CGIServlet,并且默认情况下在Tomcat9.0.x中禁用其选项enableCmdLineArguments。

为了缓解RCE漏洞,现在将在所有版本的Apache Tomcat中禁用CGI Servlet enableCmdLineArguments选项。

受漏洞影响的Tomcat应用程序服务器版本:

Apache Tomcat 9.0.0.M1到9.0.17
Apache Tomcat 8.5.0到8.5.39
Apache Tomcat 7.0.0到7.0.93

以下Tomcat版本不受该漏洞的影响:

Apache Tomcat 9.0.18及更高版本
Apache Tomcat 8.5.40及更高版本
Apache Tomcat 7.0.94及更高版本

该漏洞在2019年3月3日由一位未命名的安全专家向Apache Tomcat安全团队报告,并在新版本发布后于2014年4月10日公开披露。

发表评论

后发表评论