В Apache Tomcat исправлена опасная уязвимость

image

Теги: Apache Tomcat, Windows, уязвимость

Успешная эксплуатация уязвимости позволяет полностью скомпрометировать систему.

Apache Software Foundation (ASF) выпустила новые версии web-сервера Apache Tomcat для устранения опасной уязвимости, предоставляющей возможность удаленно выполнить код и перехватить контроль над сервером.

Уязвимость (CVE-2019-0232) была обнаружена специалистами Nightwatch Cybersecurity Research. Проблема содержится в Common Gateway Interface (CGI) Servlet и проявляется на устройствах с ОС Windows с включенным параметром «enableCmdLineArguments». Проблема связана с тем, как Java Runtime Environment (JRE) передает Windows аргументы командной строки. Поскольку, начиная с Tomcat 9.0, CGI Servlet и опция «enableCmdLineArguments» отключены по умолчанию, баг расценивается как опасный, но не критический.

Уязвимость затрагивает версии Apache Tomcat 9.0.0.M1 до 9.0.17, Apache Tomcat 8.5.0 до 8.5.39 и Apache Tomcat 7.0.0 до 7.0.93. Версии Apache Tomcat 9.0.18 и ниже, Apache Tomcat 8.5.40 и более поздние, а также Apache Tomcat 7.0.94 и ниже проблеме не подвержены.

Успешная эксплуатация уязвимости позволяет удаленно выполнить код на Windows-сервере, использующем уязвимую версию Apache Tomcat, и полностью скомпрометировать систему.

Проблема исправлена с выпуском версий Tomcat 9.0.19, 8.5.40 и 7.0.93. Всем пользователям рекомендуется установить обновления как можно скорее. В случае отсутствия такой возможности, рекомендуется установить значение «false» для параметра «enableCmdLineArguments».

Tomcat (в старых версиях — Catalina) — написанный на Java контейнер сервлетов с открытым исходным кодом, разрабатываемый Apache Software Foundation. Реализует спецификацию сервлетов, спецификацию JavaServer Pages (JSP) и JavaServer Faces (JSF).


Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.