Apache Software Foundation (ASF) hat eine neue Version des Apache Tomcat-Webservers veröffentlicht, um gefährliche Sicherheitslücken zu beseitigen, die die Leistung von Remotecode und das Abfangen der Kontrolle über den Server ermöglichen.
VSchwachstelle CVE-2019-0232 enthält in Common Gateway Interface (CGI) Servlet und Manifeste unter Windows mit gedrehtem Parameter «enableCmdLineArguments». Problem im Zusammenhang mit dem Mechanismus der Java-Laufzeitumgebung (JRE) Übergangsargumente der Kommandozeile. Wie in den Versionen Tomcat 9.0 und höher CGI Servlet und Option «enableCmdLineArguments» standardmäßig ausgeschaltet, Fehler wird nicht als kritisch eingestuft.Die Schwachstelle betrifft Versionen von Apache Tomcat von 9.0.0.M.I.till 9.0.17, Apache tomcat 8.5.0 bis 8.5.39 und Apache Tomcat 7.0.0 bis 7.0.93. Versionen von Apache Tomcat 9.0.18 Und niedriger, Apache tomcat 8.5.40 und höher und Apache Tomcat 7.0.94 sind nicht empfindlich gegenüber einem Problem.
Die erfolgreiche Ausnutzung der Schwachstelle ermöglicht die Remote-Ausführung von Code auf Windows-Servern, die eine anfällige Apache-Tomcat-Version verwenden und das System vollständig kompromittieren.
Durch Starten von Tomcat behobene Probleme 9.0.19, 8.5.40 und 7.0.93 Versionen. Alle Benutzer erhielten Empfehlungen, um Probleme so schnell wie möglich zu beheben. Wenn dies der Fall ist, haben sie diese Möglichkeit nicht, empfohlen, Bedeutung zu setzen “falsch” für den Parameter «enableCmdLineArguments».
Quelle: www.mag-securs.com
