Apache Software Foundation выпустил новое обновление своего сервера приложений Tomcat для устранения серьезной уязвимости, которая может позволить удаленно выполнить вредоносный код и получить контроль над сервером.
Уязвимость CVE-2019-0232 находится в Common Gateway Interface (CGI) при работе в Windows с включенным enableCmdLineArguments и возникает ошибка в способе, которым Java Runtime Environment (JRE) передает аргументы командной строки.
Поскольку CGI по умолчанию отключен, а его опция enableCmdLineArguments отключена по умолчанию в Tomcat 9.0.x, уязвимость удаленного выполнения кода была оценена не критичная.
Опция enableCmdLineArguments CGI теперь будет отключена по умолчанию во всех версиях Apache Tomcat.
Затронутые версии Tomcat
Apache Tomcat с 9.0.0.M1 по 9.0.17
Apache Tomcat 8.5.0 до 8.5.39
Apache Tomcat 7.0.0 до 7.0.93
Успешное использование этой уязвимости может позволить удаленно выполнить произвольную команду на сервере Windows, на котором работает уязвимая версия Apache Tomcat.
Уязвимость была устранена в выпуске Tomcat версии 9.0.19, версии 8.5.40 и версии 7.0. 93.
Администраторам настоятельно рекомендуется как можно скорее выполнить обновления. Если такой возможности нет, убедитесь, что для параметра enableCmdLineArguments по умолчанию для параметра инициализации CGI установлено значение false.