Apache phát hành bản vá lỗ hổng bảo mật nghiêm trọng trong Apache Tomcat

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 16/04/19, 11:04 AM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 431
    Đã được thích: 54
    Điểm thành tích:
    48
    Apache Software Foundation (ASF) mới đây đã phát hành phiên bản mới của ứng dụng Apache Tomcat nhằm giải quyết một lỗ hổng bảo mật nghiêm trọng, có thể cho phép tin tặc tấn công thực thi mã lệnh tùy ý từ xa và kiểm soát hoàn toàn máy chủ bị tấn công.
    [​IMG]
    Được phát triển bởi ASF, Apache Tomcat là một máy chủ web và hệ thống servlet mã nguồn mở, sử dụng một số đặc tả Java EE như Java Servlet, JavaServer Pages (JSP), Expression Language, và WebSocket để cung cấp môi trường máy chủ web HTTP "thuần Java".
    Lỗ hổng bảo mậy này (CVE-2019-0232) nằm trong Common Gateway Interface (CGI) Servlet khi chạy trên nền tảng Windows với enableCmdLineArguments được kích hoạt và xảy ra do lỗi trong cách Java Runtime Environment (JRE) chuyển cac đối số dòng lệnh sang Windows.
    Tuy nhiên, do CGI Servlet và tùy chọn enableCmdLineArgument bị tắt mặc định trong Tomcat 9.0.x, lỗ hổng thực thi mã từ xa này không được đánh giá là rất nghiêm trọng.
    Để ứng phó với lỗ hổng này, Apache Software Foundation (ASF) sẽ mặc định tắt tùy chọn CGI Servlet enableCmdLineArguments trên tất cả các phiển bản của Apache Tomcat.
    Các phiên bản Apache Tomcat bị ảnh hưởng bởi lỗ hổng CVE-2019-0232:
    1. Apache Tomcat 9.0.0.M1 to 9.0.17
    2. Apache Tomcat 8.5.0 to 8.5.39
    3. Apache Tomcat 7.0.0 to 7.0.93
    Các phiên bản Apache Tomcat không bị ảnh hưởng bởi lỗ hổng trên:
    1. Tomcat Apache 9.0,18 trở lên
    2. Apache Tomcat 8.5.40 trở lên
    3. Apache Tomcat 7.0.94 trở lên
    Theo các nhà nghiên cứu, khi tin tặc tiến hành khai thác thành công lỗ hổng bảo mật CVE-2019-0232, tin tặc có thể tiến hành các cuộc tấn công thực thi mã tùy ý từ xa trên máy chủ Windows mục tiêu và chiếm quyền điều khiển toàn bộ máy chủ.
    Được biết, lỗ hổng đã được báo cáo cho nhóm bảo mật Apache Tomcat bởi một nhà nghiên cứu bảo mật giấu tên, vào ngày 3 tháng 3 năm 2019 và được công khai vào ngày 10 tháng 4 năm 2019 sau khi ASF phát hành các phiên bản cập nhật.
    Hiện tại, các quản trị viên được khuyến khích áp dụng các bản cập nhật phần mềm càng sớm càng tốt. Nếu bạn không thể áp dụng các bản vá ngay lập tức, bạn nên đảm bảo giá trị EnableCmdLineArgument của tham số khởi tạo CGI Servlet được đặt thành false.


    Theo: Cybersec365
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan