Apache Tomcat修补了重要的远程代码执行缺陷
发布时间:2022-11-28 00:28:04 273
相关标签:
Apache软件基金会(ASF)已经发布了它的Tomcat应用服务器的新版本,以解决一个重要的安全漏洞,该漏洞允许远程攻击者执行恶意代码并控制受影响的服务器。
在Windows上运行时,远程代码执行漏洞(CVE-2019-0232)存在于公共网关接口(CGI)Servlet中enableCmdLineArguments由于Java Runtime Environment(JRE)将命令行参数传递给Windows的方式存在缺陷而启用和发生。
因为CGI Servlet在默认情况下是禁用的,而其选项enableCmdLineArguments在Tomcat 9.0中默认是禁用的.x、 远程代码执行漏洞被评为重要而非关键。
为了应对此漏洞,所有版本的Apache Tomcat现在都默认禁用CGI Servlet enableCmdLineArguments选项。
受影响的Tomcat版本
Nightwatch Cybersecurity的研究人员于2019年3月3日向Apache Tomcat安全团队报告了该漏洞,并在ASF发布更新版本后于2019年4月10日公布。
Tomcat 9.0.19版本(尽管该问题在Apache Tomcat 9.0.18中得到了修复,但9.0.18版本的发布投票没有通过)、8.5.40和7.0.93版本都解决了这个Apache漏洞。
因此,强烈建议管理员尽快应用软件更新。如果无法立即应用修补程序,则应确保CGI Servlet Initialization参数的默认enableCmdLineArguments值设置为false。
在Windows上运行时,远程代码执行漏洞(CVE-2019-0232)存在于公共网关接口(CGI)Servlet中enableCmdLineArguments由于Java Runtime Environment(JRE)将命令行参数传递给Windows的方式存在缺陷而启用和发生。
因为CGI Servlet在默认情况下是禁用的,而其选项enableCmdLineArguments在Tomcat 9.0中默认是禁用的.x、 远程代码执行漏洞被评为重要而非关键。
为了应对此漏洞,所有版本的Apache Tomcat现在都默认禁用CGI Servlet enableCmdLineArguments选项。
受影响的Tomcat版本
- ApacheTomcat 9.0.0.M1至9.0.17
- Apache Tomcat 8.5.0至8.5.39
- Apache Tomcat 7.0.0至7.0.93
- Apache Tomcat 9.0.18及更高版本
- Apache Tomcat 8.5.40及更高版本
- Apache Tomcat 7.0.94及更高版本
Tomcat 9.0.19版本(尽管该问题在Apache Tomcat 9.0.18中得到了修复,但9.0.18版本的发布投票没有通过)、8.5.40和7.0.93版本都解决了这个Apache漏洞。
因此,强烈建议管理员尽快应用软件更新。如果无法立即应用修补程序,则应确保CGI Servlet Initialization参数的默认enableCmdLineArguments值设置为false。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报