Apache Tomcat修补了重要的远程代码执行缺陷

Apache软件基金会（ASF）已经发布了它的Tomcat应用服务器的新版本，以解决一个重要的安全漏洞，该漏洞允许远程攻击者执行恶意代码并控制受影响的服务器。

在Windows上运行时，远程代码执行漏洞（CVE-2019-0232）存在于公共网关接口（CGI）Servlet中enableCmdLineArguments由于Java Runtime Environment（JRE）将命令行参数传递给Windows的方式存在缺陷而启用和发生。

因为CGI Servlet在默认情况下是禁用的，而其选项enableCmdLineArguments在Tomcat 9.0中默认是禁用的.x、 远程代码执行漏洞被评为重要而非关键。

为了应对此漏洞，所有版本的Apache Tomcat现在都默认禁用CGI Servlet enableCmdLineArguments选项。

受影响的Tomcat版本

• ApacheTomcat 9.0.0.M1至9.0.17
• Apache Tomcat 8.5.0至8.5.39
• Apache Tomcat 7.0.0至7.0.93

未受影响的Tomcat版本

• Apache Tomcat 9.0.18及更高版本
• Apache Tomcat 8.5.40及更高版本
• Apache Tomcat 7.0.94及更高版本

成功利用此漏洞可使远程攻击者在运行受影响版本Apache Tomcat的目标Windows服务器上执行任意命令，从而造成完全危害。
Nightwatch Cybersecurity的研究人员于2019年3月3日向Apache Tomcat安全团队报告了该漏洞，并在ASF发布更新版本后于2019年4月10日公布。

Tomcat 9.0.19版本（尽管该问题在Apache Tomcat 9.0.18中得到了修复，但9.0.18版本的发布投票没有通过）、8.5.40和7.0.93版本都解决了这个Apache漏洞。

因此，强烈建议管理员尽快应用软件更新。如果无法立即应用修补程序，则应确保CGI Servlet Initialization参数的默认enableCmdLineArguments值设置为false。