Apache Tomcat修复一枚严重漏洞,赏金为欧盟支付

栏目: 服务器 · 发布时间: 4年前

内容简介:Apache 软件基金会修复了影响 Apache Tomcat 的一个远程代码执行漏洞,以阻止潜在的远程攻击者利用易受攻击的服务器并控制受影响系统。ApacheTomcat 软件(也被称为 Tomcat Server)是一款开源的 Java EE 标准如 Java Servlet、Java Expression Language、JavaServer Pages 以及 Java WebSocket 技术,从而提供了能够运行基于 Java 的代码的 HTTP web 服务器。

Apache Tomcat修复一枚严重漏洞,赏金为欧盟支付

Apache 软件基金会修复了影响 Apache Tomcat 的一个远程代码执行漏洞,以阻止潜在的远程攻击者利用易受攻击的服务器并控制受影响系统。

ApacheTomcat 软件(也被称为 Tomcat Server)是一款开源的 Java EE 标准如 Java Servlet、Java Expression Language、JavaServer Pages 以及 Java WebSocket 技术,从而提供了能够运行基于 Java 的代码的 HTTP web 服务器。

这个 RCE漏洞 CVE-2019-0232 能够允许恶意人员通过利用由 Tomcat CGI Servlet 中出现的输入验证错误引发的操作系统命令注入,在受害者系统上执行任意命令。而这个输入验证错误是由“JRE 向 Windows 传递命令行形参的过程中出现的一个 bug 导致的”。

启用 enableCmdLineArguments 的 Windows 安装程序易受攻击

该问题将导致准攻击者通过向伺服小程序发送恶意构造请求的方式使用 Apache Tomcat 进程的权限在受影响系统上注入并执行任意命令。

这个操作系统命令注入漏洞 (CWE-78) 可使“攻击者直接在操作系统上执行异常的危险命令”。该弱点可导致攻击者并无法直接访问操作系统的环境如 web 应用程序中出现漏洞。

正如安全公告中指出,“在启用 enableCmdLineArguments 的Windows 上运行时,CGI Servlet 易受因 JRE 向 Windows 传递命令行形参方式中触发的 bug 的远程代码执行影响。CGI Servlet 默认遭禁用。CGI 选项 enbaleCmdLineArgument 默认在 Tomcat 9.0.x 中遭禁用(而且将在所有受影响版本中默认遭禁用)。”

如上所述,要利用这个重要的 RCE 漏洞,Apache Tomcat 必须安装在 Windows 机器中并启用 enableCmdLineArguments 选项。

该漏洞对安装了 Apache Tomcat 9.0.x 的系统影响程度较低,因为默认禁用 enableCmdLineArguments 选项。

获 EU-FOSSA 漏洞奖励计划资助

受该 RCE 漏洞影响的 Tomcat 版本包括:

  • ApacheTomcat 9.0.0.M1 至 9.0.17

  • ApacheTomcat 8.5.0 至 8.5.39

  • ApacheTomcat 7.0.0 至 7.0.93

Apache 软件基金会 (ASF) 发布了如下打补丁的版本:

  • Apache Tomcat 9.0.18 及后续版本

  • Apache Tomcat 8.5.40 及后续版本

  • Apache Tomcat 7.0.94 及后续版本

ASF同时提供了缓解措施,建议受影响用户应用如下缓解措施之一:

  • 确保将CGI Servlet 初始化实参 enableCmdLineArguments 设置为false。

  • 升级至Apache Tomcat 9.0.18 或后续版本。

  • 升级至Apache Tomcat 8.5.40 或后续版本。

  • 升级至Apache Tomcat 7.0.93 或后续版本。

漏洞(CVE-2019-0232) 是由 Nightwatch 网络安全研究所通过欧盟 FOSSA-2 项目资助的 Intigriti/德勤漏洞奖励平台在 Apache Tomcat 中发现并告知 ASF 安全团队的。该项目的赏金总额为3.9万欧元,有效期是1月30日至10月15日。

原文链接

https://www.bleepingcomputer.com/news/security/important-severity-remote-code-execution-vulnerability-patched-in-tomcat/

题图:Pixabay License

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。


以上所述就是小编给大家介绍的《Apache Tomcat修复一枚严重漏洞,赏金为欧盟支付》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

精通CSS(第2版)

精通CSS(第2版)

[英] Andy Budd、[英] Simon Collison、[英] Cameron Moll / 陈剑瓯 / 人民邮电出版社 / 2010-5 / 49.00元

本书汇集了最有用的CSS技术,介绍了CSS的基本概念和最佳实践,结合实例探讨了图像、链接和列表的操纵,还有表单设计、数据表格设计、纯CSS布局等核心CSS技术。此外,书中着眼于创建跨浏览器的技术,讨论了bug及其捕捉和修复技术,还将所有技术组合成两个精彩的实例,讲述这些技术的工作原理和实际用法。 本书适合具有HTML和CSS基础知识的读者阅读。一起来看看 《精通CSS(第2版)》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器