Η Apache κυκλοφόρησε ενημερώσεις ασφαλείας για την αντιμετώπιση της ευπάθειας με το Apache Tomcat που επιτρέπει σε έναν απομακρυσμένο εισβολέα να εκμεταλλευτεί την ευπάθεια και να πάρει τον έλεγχο του ευάλωτου μηχανήματος.
Η ευπάθεια υπάρχει στο CGI Servlet, λόγω του τρόπου με τον οποίο περνάει τις εντολές JRE στα παράθυρα όταν εκτελείται με ενεργοποιημένο enableCmdLineArguments.
Η Αpache διορθώνει την ευπάθεια απενεργοποιώντας την επιλογή CGI enableCmdLineArguments από προεπιλογή. Αυτή η ευπάθεια μπορεί να εντοπιστεί ως CVE-2019-0232.
Το σφάλμα εντοπίστηκε και αναφέρθηκε στην Αpache από έναν εξωτερικό ερευνητή ασφάλειας μέσω του προγράμματος bounty bug.
Οι επηρεαζόμενες εκδόσεις είναι:
- Αpache Tomcat 9.0.0.M1 έως0.17
- Αpache Tomcat 8.5.0 έως5.39
- Αpache Tomcat 7.0.0 έως 7.0.93
Τρόπος αντιμετώπισης:
Η Αpache συνιστά στους χρήστες να ενημερώνονται με τις ακόλουθες εκδόσεις και για να βεβαιωθούν ότι έχει απενεργοποιηθεί η CGI Servlet initialization παράμετρος enableCmdLineArguments.
- Αναβάθμιση σε Αpache Tomcat 9.0.18 ή μεταγενέστερη έκδοση
- Αναβαθμίστε στο Αpache Tomcat 8.5.40 ή μεταγενέστερη έκδοση
- Αναβάθμιση σε Αpache Tomcat 7.0.93 ή μεταγενέστερη έκδοση
