В Apache Tomcat исправили опасный RCE-баг - «Новости»

Xakep #240. Ghidra

• Содержание выпуска


• Подписка на «Хакер»

Разработчики Apache Software Foundation выпустили исправление для уязвимости CVE-2019-0232, обнаруженной в составе Apache Tomcat.

Проблему обнаружили эксперты Nightwatch Cybersecurity Research, и она была связана с Common Gateway Interface (CGI) Servlet. Уязвимость проявлялась в Windows, при включенном enableCmdLineArguments: парсинг команд, осуществляемый Java Runtime Environment (JRE), производился некорректно, и в итоге становилось возможным удаленное исполнение произвольного кода на сервере с уязвимостей установкой Apache Tomcat.

Так как CGI Servlet отключен по умолчанию, и опция enableCmdLineArguments неактивна по умолчанию в Tomcat 9.0.x и более свежих версиях, проблеме решили не присваивать критический уровень. Также сообщается, что теперь enableCmdLineArguments будет выключена по дефолту во всех версиях Apache Tomcat.

Уязвимость затрагивает:

• Apache Tomcat с 0.0.M1 по 9.0.17;


• Apache Tomcat с 8.5.0 по 8.5.39;


• Apache Tomcat с 7.0.0 по 7.0.93.

Уязвимость не затрагивает:

• Apache Tomcat 9.0.18 и выше;


• Apache Tomcat 8.5.40 и выше;


• Apache Tomcat 7.0.94 и выше.

Если установить обновления по каким-либо причинам невозможно, разработчики рекомендуют по меньшей мере отключить enableCmdLineArguments.