Apache Tomcat tung ra bản fix Lỗi thực thi mã từ xa quan trọng

Tổ chức phần mềm Apache (ASF) đã phát hành các phiên bản mới của máy chủ ứng dụng Tomcat của mình để giải quyết một lỗ hổng bảo mật quan trọng có thể cho phép kẻ tấn công từ xa thực thi mã độc và kiểm soát máy chủ bị ảnh hưởng.

Được phát triển bởi ASF, Apache Tomcat là một máy chủ web và hệ thống servlet mã nguồn mở, sử dụng một số đặc tả Java EE như Java Servlet, JavaServer Pages (JSP), Expression Language và WebSocket để cung cấp môi trường máy chủ web HTTP “thuần Java” cho Khái niệm Java để chạy trong.

Lỗ hổng thực thi mã từ xa ( CVE-2019-0 232 ) nằm trong Servlet Giao diện cổng chung (CGI) khi chạy trên Windows với enableCmdLineArgument được kích hoạt và xảy ra do lỗi trong cách Môi trường thời gian chạy Java (JRE) chuyển các đối số dòng lệnh sang Các cửa sổ.

Do CGI Servlet bị tắt theo mặc định và tùy chọn enableCmdLineArgument bị tắt theo mặc định trong Tomcat 9.0.x, lỗ hổng thực thi mã từ xa đã được đánh giá là khá nghiêm trọng.

Để đối phó với lỗ hổng này, tùy chọn CGI Servlet enableCmdLineArgument bây giờ sẽ bị tắt theo mặc định trong tất cả các phiên bản của Apache Tomcat.

Phiên bản Tomcat bị ảnh hưởng

  • Apache Tomcat 9.0.0.M1 đến 9.0.17
  • Apache Tomcat từ 8,5 đến 8,5,39
  • Apache Tomcat 7.0.0 đến 7.0.93

Phiên bản Tomcat không bị ảnh hưởng

  • Tomcat Apache 9.0,18 trở lên
  • Apache Tomcat 8.5.40 trở lên
  • Apache Tomcat 7.0.94 trở lên

Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi một lệnh tùy ý trên máy chủ Windows được nhắm mục tiêu chạy phiên bản bị ảnh hưởng của Apache Tomcat, dẫn đến thỏa hiệp hoàn toàn.

Lỗ hổng đã được báo cáo cho nhóm bảo mật Apache Tomcat bởi các nhà nghiên cứu từ Nightwatch Cybersecurance vào ngày 3 tháng 3 năm 2019 và được công khai vào ngày 10 tháng 4 năm 2019 sau khi ASF phát hành các phiên bản cập nhật.

Lỗ hổng Apache này đã được giải quyết với việc phát hành Tomcat phiên bản 9.0.19 (mặc dù vấn đề đã được khắc phục trong Apache Tomcat 9.0.18, tuy nhiên bản release 9.0.18 không được thông qua), phiên bản 8.5.40 và phiên bản 7.0. 93.

Vì vậy, các quản trị viên được khuyến khích áp dụng các bản cập nhật phần mềm càng sớm càng tốt. Nếu bạn không thể áp dụng các bản vá ngay lập tức, bạn nên đảm bảo giá trị enableCmdLineArgument của tham số khởi tạo CGI Servlet được đặt thành false.

bình luận

Leave a Comment