内容简介:Apache 软件基金会修复了影响 Apache Tomcat 的一个远程代码执行漏洞,以阻止潜在的远程攻击者利用易受攻击的服务器并控制受影响系统。ApacheTomcat 软件(也被称为 Tomcat Server)是一款开源的 Java EE 标准如 Java Servlet、Java Expression Language、JavaServer Pages 以及 Java WebSocket 技术,从而提供了能够运行基于 Java 的代码的 HTTP web 服务器。
Apache 软件基金会修复了影响 Apache Tomcat 的一个远程代码执行漏洞,以阻止潜在的远程攻击者利用易受攻击的服务器并控制受影响系统。
ApacheTomcat 软件(也被称为 Tomcat Server)是一款开源的 Java EE 标准如 Java Servlet、Java Expression Language、JavaServer Pages 以及 Java WebSocket 技术,从而提供了能够运行基于 Java 的代码的 HTTP web 服务器。
这个 RCE漏洞 CVE-2019-0232 能够允许恶意人员通过利用由 Tomcat CGI Servlet 中出现的输入验证错误引发的操作系统命令注入,在受害者系统上执行任意命令。而这个输入验证错误是由“JRE 向 Windows 传递命令行形参的过程中出现的一个 bug 导致的”。
启用 enableCmdLineArguments 的 Windows 安装程序易受攻击
该问题将导致准攻击者通过向伺服小程序发送恶意构造请求的方式使用 Apache Tomcat 进程的权限在受影响系统上注入并执行任意命令。
这个操作系统命令注入漏洞 (CWE-78) 可使“攻击者直接在操作系统上执行异常的危险命令”。该弱点可导致攻击者并无法直接访问操作系统的环境如 web 应用程序中出现漏洞。
正如安全公告中指出,“在启用 enableCmdLineArguments 的Windows 上运行时,CGI Servlet 易受因 JRE 向 Windows 传递命令行形参方式中触发的 bug 的远程代码执行影响。CGI Servlet 默认遭禁用。CGI 选项 enbaleCmdLineArgument 默认在 Tomcat 9.0.x 中遭禁用(而且将在所有受影响版本中默认遭禁用)。”
如上所述,要利用这个重要的 RCE 漏洞,Apache Tomcat 必须安装在 Windows 机器中并启用 enableCmdLineArguments 选项。
该漏洞对安装了 Apache Tomcat 9.0.x 的系统影响程度较低,因为默认禁用 enableCmdLineArguments 选项。
获 EU-FOSSA 漏洞奖励计划资助
受该 RCE 漏洞影响的 Tomcat 版本包括:
-
ApacheTomcat 9.0.0.M1 至 9.0.17
-
ApacheTomcat 8.5.0 至 8.5.39
-
ApacheTomcat 7.0.0 至 7.0.93
Apache 软件基金会 (ASF) 发布了如下打补丁的版本:
-
Apache Tomcat 9.0.18 及后续版本
-
Apache Tomcat 8.5.40 及后续版本
-
Apache Tomcat 7.0.94 及后续版本
ASF同时提供了缓解措施,建议受影响用户应用如下缓解措施之一:
-
确保将CGI Servlet 初始化实参 enableCmdLineArguments 设置为false。
-
升级至Apache Tomcat 9.0.18 或后续版本。
-
升级至Apache Tomcat 8.5.40 或后续版本。
-
升级至Apache Tomcat 7.0.93 或后续版本。
漏洞(CVE-2019-0232) 是由 Nightwatch 网络安全研究所通过欧盟 FOSSA-2 项目资助的 Intigriti/德勤漏洞奖励平台在 Apache Tomcat 中发现并告知 ASF 安全团队的。该项目的赏金总额为3.9万欧元,有效期是1月30日至10月15日。
原文链接
https://www.bleepingcomputer.com/news/security/important-severity-remote-code-execution-vulnerability-patched-in-tomcat/
题图:Pixabay License
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
以上所述就是小编给大家介绍的《Apache Tomcat修复一枚严重漏洞,赏金为欧盟支付》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 如何成为一个漏洞赏金猎人
- 2017 年,GitHub 支付了 16.6 万美元的安全漏洞赏金
- 2017 年,GitHub 支付了 16.6 万美元的安全漏洞赏金
- 挖洞经验 | 看我如何发现比特币赌博网站漏洞并收获$12000赏金
- 互联网漏洞赏金“骗局”曝光,这点钱还不如打德扑
- 报告称无业黑客最高能年赚50万美元 靠测试漏洞赚赏金
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。