预警编号:NS-2019-0013
2019-04-11
TAG: | Apache Tomcat、远程代码执行、CVE-2019-0232、Windows |
---|---|
危害等级: | 高,攻击者利用此漏洞可实现远程代码执行。 |
版本: | 1.0 |
1
漏洞概述
4月11日,Apache官方发布安全通告,由于JRE将命令行参数传递给Windows的方式存在错误,会导致CGI Servlet受到远程执行代码的攻击。
触发该漏洞需要同时满足以下条件,请相关用户引起关注:
1. 系统为Windows
2. 启用了CGI Servlet(默认为关闭)
3. 启用了enableCmdLineArguments(Tomcat 9.0.*版本及官方未来发布版本默认为关闭)
参考链接:
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
SEE MORE →
2影响范围
受影响版本
修复版本
目前Apache官方还未正式发布修复版本,请受影响的用户及时关注官方的发布情况。
3解决建议
3.1 版本排查
通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。
如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。进入tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。
如果当前版本在影响范围内,且满足漏洞触发的3个条件,则当前系统可能存在风险,请相关用户及时更新。
3.2 关闭enableCmdLineArguments参数
Apache官方还未正式发布最新修复版本,请受影响的用户保持关注,官方更新后尽快升级进行防护。在官方发布新版本之前,用户可以将CGI Servlet初始化参数enableCmdLineArguments设置为false来进行临时防护。具体操作步骤如下:
1、在Tomcat安装路径的conf文件夹下,使用编辑器打开web.xml。
2、找到enableCmdLineArguments参数部分,添加如下配置:
3、重启Tomcat服务,以确保配置生效。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。