WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Apache phát hành bản vá lỗ hổng bảo mật nghiêm trọng trong Apache Tomcat
Apache Software Foundation (ASF) mới đây đã phát hành phiên bản mới của ứng dụng Apache Tomcat nhằm giải quyết một lỗ hổng bảo mật nghiêm trọng, có thể cho phép tin tặc tấn công thực thi mã lệnh tùy ý từ xa và kiểm soát hoàn toàn máy chủ bị tấn công.
Được phát triển bởi ASF, Apache Tomcat là một máy chủ web và hệ thống servlet mã nguồn mở, sử dụng một số đặc tả Java EE như Java Servlet, JavaServer Pages (JSP), Expression Language, và WebSocket để cung cấp môi trường máy chủ web HTTP "thuần Java".
Lỗ hổng bảo mậy này (CVE-2019-0232) nằm trong Common Gateway Interface (CGI) Servlet khi chạy trên nền tảng Windows với enableCmdLineArguments được kích hoạt và xảy ra do lỗi trong cách Java Runtime Environment (JRE) chuyển cac đối số dòng lệnh sang Windows.
Tuy nhiên, do CGI Servlet và tùy chọn enableCmdLineArgument bị tắt mặc định trong Tomcat 9.0.x, lỗ hổng thực thi mã từ xa này không được đánh giá là rất nghiêm trọng.
Để ứng phó với lỗ hổng này, Apache Software Foundation (ASF) sẽ mặc định tắt tùy chọn CGI Servlet enableCmdLineArguments trên tất cả các phiển bản của Apache Tomcat.
Các phiên bản Apache Tomcat bị ảnh hưởng bởi lỗ hổng CVE-2019-0232:
Được biết, lỗ hổng đã được báo cáo cho nhóm bảo mật Apache Tomcat bởi một nhà nghiên cứu bảo mật giấu tên, vào ngày 3 tháng 3 năm 2019 và được công khai vào ngày 10 tháng 4 năm 2019 sau khi ASF phát hành các phiên bản cập nhật.
Hiện tại, các quản trị viên được khuyến khích áp dụng các bản cập nhật phần mềm càng sớm càng tốt. Nếu bạn không thể áp dụng các bản vá ngay lập tức, bạn nên đảm bảo giá trị EnableCmdLineArgument của tham số khởi tạo CGI Servlet được đặt thành false.
Lỗ hổng bảo mậy này (CVE-2019-0232) nằm trong Common Gateway Interface (CGI) Servlet khi chạy trên nền tảng Windows với enableCmdLineArguments được kích hoạt và xảy ra do lỗi trong cách Java Runtime Environment (JRE) chuyển cac đối số dòng lệnh sang Windows.
Tuy nhiên, do CGI Servlet và tùy chọn enableCmdLineArgument bị tắt mặc định trong Tomcat 9.0.x, lỗ hổng thực thi mã từ xa này không được đánh giá là rất nghiêm trọng.
Để ứng phó với lỗ hổng này, Apache Software Foundation (ASF) sẽ mặc định tắt tùy chọn CGI Servlet enableCmdLineArguments trên tất cả các phiển bản của Apache Tomcat.
Các phiên bản Apache Tomcat bị ảnh hưởng bởi lỗ hổng CVE-2019-0232:
- Apache Tomcat 9.0.0.M1 to 9.0.17
- Apache Tomcat 8.5.0 to 8.5.39
- Apache Tomcat 7.0.0 to 7.0.93
- Tomcat Apache 9.0,18 trở lên
- Apache Tomcat 8.5.40 trở lên
- Apache Tomcat 7.0.94 trở lên
Được biết, lỗ hổng đã được báo cáo cho nhóm bảo mật Apache Tomcat bởi một nhà nghiên cứu bảo mật giấu tên, vào ngày 3 tháng 3 năm 2019 và được công khai vào ngày 10 tháng 4 năm 2019 sau khi ASF phát hành các phiên bản cập nhật.
Hiện tại, các quản trị viên được khuyến khích áp dụng các bản cập nhật phần mềm càng sớm càng tốt. Nếu bạn không thể áp dụng các bản vá ngay lập tức, bạn nên đảm bảo giá trị EnableCmdLineArgument của tham số khởi tạo CGI Servlet được đặt thành false.
Theo: Cybersec365