【安全通告】Apache Tomcat远程代码执行漏洞 (CVE-2019-0232)

作者:???广州非凡信息安全技术有限公司(总部广州) 2019/05/16 15:50:48 120次阅读 国际

d77276e5b6435195ee97c75007823919.png

??? 当地时间4月10日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞(CVE-2019-0232)。在启用了enableCmdLineArguments的Windows上运行时,由于JRE将命令行参数传递给Windows的方式存在错误,CGI Servlet很容易受到远程执行代码的攻击。CGI Servlet默认是关闭的。

受影响的版本

??? Apache Tomcat 9.0.0.M1 to 9.0.17
??? Apache Tomcat 8.5.0 to 8.5.39
??? Apache Tomcat 7.0.0 to 7.0.93

不受影响的版本

??? Apache Tomcat 9.0.18
??? Apache Tomcat 8.5.40
??? Apache Tomcat 7.0.94

解决方案

??? Apache官方还未正式发布以上最新版本,受影响的用户请保持关注,在官方更新后尽快升级进行防护。与此同时,用户可以将CGI Servlet初始化参数enableCmdLineArguments设置为false来进行防护。

参考链接:

http://tomcat.apache.org/security-7.html

https://codewhitesec.blogspot.com/2016/02/java-and-command-line-injections-in-windows.html

https://web.archive.org/web/20161228144344/

https://blogs.msdn.microsoft.com/twistylittlepassagesallalike/2011/04/23/everyone-quotes-command-line-arguments-the-wrong-way/

http://tomcat.apache.org/security-8.html

http://tomcat.apache.org/security-9.html


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室