В Apache Tomcat исправлена опасная уязвимость

4

В Apache Tomcat исправлена опасная уязвимость

Успешная эксплуатация уязвимости позволяет полностью скомпрометировать систему.


Apache Software Foundation (ASF) выпустила новые версии web-сервера Apache Tomcat для устранения опасной уязвимости, предоставляющей возможность удаленно выполнить код и перехватить контроль над сервером.

Уязвимость (CVE-2019-0232) содержится в Common Gateway Interface (CGI) Servlet и проявляется на устройствах с ОС Windows с включенным параметром «enableCmdLineArguments». Проблема связана с тем, как Java Runtime Environment (JRE) передает Windows аргументы командной строки. Поскольку, начиная с Tomcat 9.0, CGI Servlet и опция «enableCmdLineArguments» отключены по умолчанию, баг расценивается как опасный, но не критический.

Уязвимость затрагивает версии Apache Tomcat 9.0.0.M1 до 9.0.17, Apache Tomcat 8.5.0 до 8.5.39 и Apache Tomcat 7.0.0 до 7.0.93. Версии Apache Tomcat 9.0.18 и ниже, Apache Tomcat 8.5.40 и более поздние, а также Apache Tomcat 7.0.94 и ниже проблеме не подвержены.

Успешная эксплуатация уязвимости позволяет удаленно выполнить код на Windows-сервере, использующем уязвимую версию Apache Tomcat, и полностью скомпрометировать систему.

Проблема исправлена с выпуском версий Tomcat 9.0.19, 8.5.40 и 7.0.93. Всем пользователям рекомендуется установить обновления как можно скорее. В случае отсутствия такой возможности, рекомендуется установить значение «false» для параметра «enableCmdLineArguments».