В Apache Tomcat исправили опасный RCE-баг

Разработчики Apache Software Foundation выпустили исправление для уязвимости CVE-2019-0232, обнаруженной в составе Apache Tomcat.

Проблему обнаружили эксперты Nightwatch Cybersecurity Research, и она была связана с Common Gateway Interface (CGI) Servlet. Уязвимость проявлялась в Windows, при включенном enableCmdLineArguments: парсинг команд, осуществляемый Java Runtime Environment (JRE), производился некорректно, и в итоге становилось возможным удаленное исполнение произвольного кода на сервере с уязвимой установкой Apache Tomcat.

Так как CGI Servlet отключен по умолчанию, и опция enableCmdLineArguments неактивна по умолчанию в Tomcat 9.0.x и более свежих версиях, проблеме решили не присваивать критический уровень. Также сообщается, что теперь enableCmdLineArguments будет выключена по дефолту во всех версиях Apache Tomcat.

Уязвимость затрагивает:

  • Apache Tomcat с 0.0.M1 по 9.0.17;
  • Apache Tomcat с 8.5.0 по 8.5.39;
  • Apache Tomcat с 7.0.0 по 7.0.93.

Уязвимость не затрагивает:

  • Apache Tomcat 9.0.18 и выше;
  • Apache Tomcat 8.5.40 и выше;
  • Apache Tomcat 7.0.94 и выше.

Если установить обновления по каким-либо причинам невозможно, разработчики рекомендуют по меньшей мере отключить enableCmdLineArguments.

"Мария Нефёдова : Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.."