Разработчики Apache Software Foundation (ASF) обновили сервер приложений Tomcat, чтобы устранить обнаруженный ранее RCE-баг. Уязвимость CVE-2019-0232 позволяла взломщикам выполнять сторонний код в системах и брать их под контроль.

В начале марта о проблеме сообщили специалисты Nightwatch Cybersecurity. Под угрозу попали Apache Tomcat следующих версий:

  • с 9.0.0.M1 по 9.0.17;
  • с 8.5.0 по 8.5.39;
  • с 0.0 по 7.0.93.

Технические детали уязвимости были опубликованы в апреле, когда ASF выпустила соответствующее обновление. Как пояснили эксперты, брешь содержится в сервлете Common Gateway Interface (CGI), который обеспечивает связь внешней программы с сервером.

Проблема возникает при передаче аргументов командной строки от виртуальной машины Java Runtime Environment к Windows. Некорректная обработка этой информации позволяет злоумышленнику встроить сторонний код, который будет воспроизведен сервером.

Специалисты оценили уязвимость как серьезную, но не критическую. На оценку повлиял тот факт, что для успешной атаки необходимо запустить сервлет CGI с параметром работы с командной строкой enableCmdLineArguments. С выходом обновления эта опция будет по умолчанию отключена не только в Apache Tomcat 9.0.x, но и во всех прочих версиях. Эксперты подчеркнули, что при невозможности установить патч администраторы могут застраховаться от угрозы, если выставят соответствующие настройки вручную.

Ранее в апреле разработчики ASF закрыли несколько брешей в Apache HTTP Server. Три из шести уязвимостей признаны серьезными — они позволяли повысить привилегии пользователя, обойти систему аутентификации и совершить манипуляции с http/2-запросами.

Категории: Уязвимости