聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Apache 软件基金会修复了影响 Apache Tomcat 的一个远程代码执行漏洞,以阻止潜在的远程攻击者利用易受攻击的服务器并控制受影响系统。
ApacheTomcat 软件(也被称为 Tomcat Server)是一款开源的 Java EE 标准如 Java Servlet、Java Expression Language、JavaServer Pages 以及 Java WebSocket 技术,从而提供了能够运行基于 Java 的代码的 HTTP web 服务器。
这个 RCE漏洞 CVE-2019-0232 能够允许恶意人员通过利用由 Tomcat CGI Servlet 中出现的输入验证错误引发的操作系统命令注入,在受害者系统上执行任意命令。而这个输入验证错误是由“JRE 向 Windows 传递命令行形参的过程中出现的一个 bug 导致的”。
启用 enableCmdLineArguments 的 Windows 安装程序易受攻击
该问题将导致准攻击者通过向伺服小程序发送恶意构造请求的方式使用 Apache Tomcat 进程的权限在受影响系统上注入并执行任意命令。
这个操作系统命令注入漏洞 (CWE-78) 可使“攻击者直接在操作系统上执行异常的危险命令”。该弱点可导致攻击者并无法直接访问操作系统的环境如 web 应用程序中出现漏洞。
正如安全公告中指出,“在启用 enableCmdLineArguments 的Windows 上运行时,CGI Servlet 易受因 JRE 向 Windows 传递命令行形参方式中触发的 bug 的远程代码执行影响。CGI Servlet 默认遭禁用。CGI 选项 enbaleCmdLineArgument 默认在 Tomcat 9.0.x 中遭禁用(而且将在所有受影响版本中默认遭禁用)。”
如上所述,要利用这个重要的 RCE 漏洞,Apache Tomcat 必须安装在 Windows 机器中并启用 enableCmdLineArguments 选项。
该漏洞对安装了 Apache Tomcat 9.0.x 的系统影响程度较低,因为默认禁用 enableCmdLineArguments 选项。
获 EU-FOSSA 漏洞奖励计划资助
受该 RCE 漏洞影响的 Tomcat 版本包括:
• ApacheTomcat 9.0.0.M1 至 9.0.17
• ApacheTomcat 8.5.0 至 8.5.39
• ApacheTomcat 7.0.0 至 7.0.93
Apache 软件基金会 (ASF) 发布了如下打补丁的版本:
Apache Tomcat 9.0.18 及后续版本
Apache Tomcat 8.5.40 及后续版本
Apache Tomcat 7.0.94 及后续版本
ASF同时提供了缓解措施,建议受影响用户应用如下缓解措施之一:
确保将CGI Servlet 初始化实参 enableCmdLineArguments 设置为false。
升级至Apache Tomcat 9.0.18 或后续版本。
升级至Apache Tomcat 8.5.40 或后续版本。
升级至Apache Tomcat 7.0.93 或后续版本。
漏洞(CVE-2019-0232) 是由 Nightwatch 网络安全研究所通过欧盟 FOSSA-2 项目资助的 Intigriti/德勤漏洞奖励平台在 Apache Tomcat 中发现并告知 ASF 安全团队的。该项目的赏金总额为3.9万欧元,有效期是1月30日至10月15日。
普通用户竟也能利用Apache HTTP 服务器漏洞获取根权限?
原文链接
https://www.bleepingcomputer.com/news/security/important-severity-remote-code-execution-vulnerability-patched-in-tomcat/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。