Разработчики Apache Software Foundation выпустили исправление для уязвимости CVE-2019-0232, обнаруженной в составе Apache Tomcat.
Проблему обнаружили эксперты Nightwatch Cybersecurity Research, и она была связана с Common Gateway Interface (CGI) Servlet. Уязвимость проявлялась в Windows, при включенном enableCmdLineArguments: парсинг команд, осуществляемый Java Runtime Environment (JRE), производился некорректно, и в итоге становилось возможным удаленное исполнение произвольного кода на сервере с уязвимой установкой Apache Tomcat.
Так как CGI Servlet отключен по умолчанию, и опция enableCmdLineArguments неактивна по умолчанию в Tomcat 9.0.x и более свежих версиях, проблеме решили не присваивать критический уровень. Также сообщается, что теперь enableCmdLineArguments будет выключена по дефолту во всех версиях Apache Tomcat.
Уязвимость затрагивает:
- Apache Tomcat с 0.0.M1 по 9.0.17;
- Apache Tomcat с 8.5.0 по 8.5.39;
- Apache Tomcat с 7.0.0 по 7.0.93.
Уязвимость не затрагивает:
- Apache Tomcat 9.0.18 и выше;
- Apache Tomcat 8.5.40 и выше;
- Apache Tomcat 7.0.94 и выше.
Если установить обновления по каким-либо причинам невозможно, разработчики рекомендуют по меньшей мере отключить enableCmdLineArguments.
