Apache Tomcat修补重要的远程执行代码漏洞

Apache Software Foundation（ASF）发布了其Tomcat应用服务器的新版本，以解决一个重要的安全漏洞，该漏洞可能允许远程攻击者执行恶意代码并控制受影响的服务器。

Apache Tomcat由ASF开发，是一个开源Web服务器和servlet系统，它使用Java Servlet，JavaServer Pages（JSP），ex pression Language和WebSocket等多种Java EE规范来提供“纯Java”HTTP Web服务器环境，用于Java概念的运行。使用enableCmdLineArguments在Windows上运行时，远程执行代码漏洞（CVE-2019-0232）驻留在公共网关接口（CGI）Servlet中，这是由于Java运行时环境（JRE）将命令行参数传递给Windows的方式存在缺陷造成的。

由于默认情况下禁用了CGI Servlet，并且在Tomcat 9.0.x中默认情况下禁用了其选项enableCmdLineArguments，因此远程代码执行漏洞被评为重要而不是非常重要。

为了应对此漏洞，CGI Servlet enableCmdLineArguments选项将在Apache Tomcat的所有版本中默认禁用。

受影响的Tomcat版本

• Apache Tomcat 9.0.0.M1——9.0.17
• Apache Tomcat 8.5.0——8.5.39
• Apache Tomcat 7.0.0——7.0.93

未受影响的Tomcat版本

• Apache Tomcat 9.0.18及更高版本
• Apache Tomcat 8.5.40及更高版本
• Apache Tomcat 7.0.94及更高版本

成功利用此漏洞可能允许远程攻击者在运行受影响的Apache Tomcat版本的目标Windows服务器上执行任意命令，从而导致完全沦陷。

该漏洞在2019年3月3日由一名安全研究人员向Apache Tomcat安全团队报告，并在ASF发布更新版本后于2019年4月10日公布。

这个Apache漏洞已经在Tomcat 9.0.19版本、8.5.40版本和7.0.93版本中得到了解决(虽然这个问题在Apache Tomcat 9.0.18中得到了修复，但是9.0.18版本的发布投票没有通过)。

因此，强烈建议管理员尽快更新应用软件。如果您无法立即应用补丁，则应确保CGI Servlet初始化参数的默认enableCmdLineArguments值设置为false。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场 
来源：https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html