首頁 > 安全研究 > 安全通報 > 安全通告

Apache Tomcat遠程代碼執行漏洞安全通告

發布時間 2019-04-12

漏洞編號和級別


CVE編號:CVE-2019-0232,危險級別:高危,CVSS分值:官方未評定


影響版本


Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39

Apache Tomcat 7.0.0 to 7.0.93


漏洞概述


Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page(JSP)的支持。


4月11日,Apache官方發布安全通告,由于JRE將命令行參數傳遞給Windows的方式存在錯誤,會導致CGI Servlet受到遠程執行代碼的攻擊。


觸發該漏洞需要同時滿足以下條件,請相關用戶引起關注:
1. 系統為Windows
2. 啟用了CGI Servlet(默認為關閉)

3. 啟用了enableCmdLineArguments(Tomcat 9.0.*版本及官方未來發布版本默認為關閉)


版本排查如下:
通常在Apache Tomcat官網下載的安裝包名稱中會包含有當前Tomcat的版本號,用戶可通過查看解壓后的文件夾名稱來確定當前的版本。

 


如果解壓后的Tomcat目錄名稱被修改過,或者通過Windows Service Installer方式安裝,可使用軟件自帶的version模塊來獲取當前的版本。進入tomcat安裝目錄的bin目錄,輸入命令version.bat后,可查看當前的軟件版本號。

 


如果當前版本在影響范圍內,且滿足漏洞觸發的3個條件,則當前系統可能存在風險,請相關用戶及時更新。


漏洞驗證


暫無POC/EXP。


修復建議


Apache官方還未正式發布最新修復版本,請受影響的用戶保持關注,官方更新后盡快升級進行防護。在官方發布新版本之前,用戶可以將CGI Servlet初始化參數enableCmdLineArguments設置為false來進行臨時防護。


具體操作步驟如下:

1、在Tomcat安裝路徑的conf文件夾下,使用編輯器打開web.xml。



2、找到enableCmdLineArguments參數部分,添加如下配置:



3、重啟Tomcat服務,以確保配置生效。


參考鏈接


http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-525

上一篇 下一篇