Stichting Apache Software (ASF) heeft een nieuwe versie van de Apache Tomcat-webserver uitgebracht voor het elimineren van een gevaarlijke kwetsbaarheid die externe codeprestaties en onderschepping van controle over de server mogelijk maakt.
Vkwetsbaarheid CVE-2019-0232 bevat in Common Gateway Interface (CGI) Servlet en manifesten op Windows met gedraaide parameter «enableCmdLineArguments». Probleem gekoppeld aan het mechanisme van Java Runtime Environment (JRE) overgangsargumenten van de opdrachtregel. Zoals in versies Tomcat 9.0 en hogere CGI-servlet en de optie «enableCmdLineArguments» standaard uitgeschakeld, bug is niet geclassificeerd als kritiek.De kwetsbaarheid betreft versies van Apache Tomcat vanaf 9.0.0.M.I.till 9.0.17, Apache kater 8.5.0 tot 8.5.39 en Apache Tomcat 7.0.0 tot 7.0.93. Versies van Apache Tomcat 9.0.18 en lager, Apache kater 8.5.40 en hoger en Apache Tomcat 7.0.94 zijn niet gevoelig voor een probleem.
Succesvol misbruik van kwetsbaarheid maakt het mogelijk om op afstand code uit te voeren op Windows-servers die de kwetsbare Apache Tomcat-versie gebruiken en het systeem volledig in gevaar brengen.
Problemen opgelost door Tomcat te starten 9.0.19, 8.5.40 En 7.0.93 versies. Alle gebruikers hebben aanbevelingen ontvangen om problemen zo snel mogelijk op te lossen. Als dit het geval is, hebben ze deze mogelijkheid niet, aanbevolen om betekenis te geven “vals” voor de parameter «enableCmdLineArguments».
Bron: www.mag-securs.com
