Apache Tomcat parchea importante falla de ejecución remota de código

seguridad del servidor apache tomcat

Apache Software Foundation (ASF) ha lanzado nuevas versiones de su servidor de aplicaciones Tomcat para abordar una importante vulnerabilidad de seguridad que podría permitir que un atacante remoto ejecute código malicioso y tome el control de un servidor afectado.

Desarrollado por ASF, Apache Tomcat es un servidor web de código abierto y un sistema de servlet, que utiliza varias especificaciones de Java EE, como Java Servlet, JavaServer Pages (JSP), Expression Language y WebSocket para proporcionar un entorno de servidor web HTTP «puro Java» para Concepto de Java para ejecutar.

La vulnerabilidad de ejecución remota de código (CVE-2019-0232) reside en el servlet Common Gateway Interface (CGI) cuando se ejecuta en Windows con enableCmdLineArguments habilitado y ocurre debido a un error en la forma en que Java Runtime Environment (JRE) pasa los argumentos de la línea de comandos a Windows.

Dado que CGI Servlet está deshabilitado de manera predeterminada y su opción enableCmdLineArguments está deshabilitada de manera predeterminada en Tomcat 9.0.x, la vulnerabilidad de ejecución remota de código se ha calificado como importante y no crítica.

En respuesta a esta vulnerabilidad, la opción CGI Servlet enableCmdLineArguments ahora estará deshabilitada de forma predeterminada en todas las versiones de Apache Tomcat.

Versiones de Tomcat afectadas

  • Apache Tomcat 9.0.0.M1 a 9.0.17
  • Apache Tomcat 8.5.0 a 8.5.39
  • Apache Tomcat 7.0.0 a 7.0.93

Versiones de Tomcat no afectadas

  • Apache Tomcat 9.0.18 y posterior
  • Apache Tomcat 8.5.40 y posterior
  • Apache Tomcat 7.0.94 y posterior

La explotación exitosa de esta vulnerabilidad podría permitir que un atacante remoto ejecute un comando arbitrario en un servidor de Windows objetivo que ejecute una versión afectada de Apache Tomcat, lo que resultaría en un compromiso total.

La vulnerabilidad fue informada al equipo de seguridad de Apache Tomcat por investigadores de Nightwatch Cybersecurity el 3 de marzo de 2019 y se hizo pública el 10 de abril de 2019 después de que ASF publicara las versiones actualizadas.

Esta vulnerabilidad de Apache se solucionó con el lanzamiento de la versión 9.0.19 de Tomcat (aunque el problema se solucionó en Apache Tomcat 9.0.18, el voto de lanzamiento para la versión 9.0.18 no se aprobó), la versión 8.5.40 y la versión 7.0. 93.

Por lo tanto, se recomienda encarecidamente a los administradores que apliquen las actualizaciones de software lo antes posible. Si no puede aplicar los parches de inmediato, debe asegurarse de que el valor predeterminado enableCmdLineArguments del parámetro de inicialización de CGI Servlet esté establecido en falso.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática