Redacción 15 abril, 2019
Tomcat, resulven vulnerabilidad remota

Apache Software Foundation (ASF) ha lanzado nuevas versiones de su servidor de aplicaciones Tomcat para abordar una importante vulnerabilidad de seguridad que podría permitir a un atacante remoto ejecutar código malicioso y tomar control de un servidor afectado.

Desarrollado por ASF, Apache Tomcat es un servidor web de código abierto y un sistema servlet, que utiliza varias especificaciones Java EE como Java Servlet, JavaServer Pages (JSP), Expression Language y WebSocket para proporcionar un entorno de servidor web HTTP «Java puro» para Concepto de Java para ejecutar.

La vulnerabilidad de ejecución remota de código (CVE-2019-0232) reside en el Servlet de Interfaz de puerta de enlace común (CGI) cuando se ejecuta en Windows con enableCmdLineArguments habilitado y se produce debido a un error en la forma en que el entorno de ejecución de Java (JRE) pasa los argumentos de la línea de comandos a Windows.

Dado que el Servlet CGI está deshabilitado de forma predeterminada y su opción enable Cmd Line Arguments está deshabilitada de forma predeterminada en Tomcat 9.0.x, la vulnerabilidad de ejecución remota de código se ha calificado de importante y no crítica.
En respuesta a esta vulnerabilidad, la opción enableCmdLineArguments del Servlet CGI ahora estará deshabilitada de forma predeterminada en todas las versiones de Apache Tomcat.

Versiones de Tomcat afectadas

Apache Tomcat 9.0.0.M1 a 9.0.17
Apache Tomcat 8.5.0 a 8.5.39
Apache Tomcat 7.0.0 a 7.0.93

Versiones de Tomcat no afectadas

Apache Tomcat 9.0.18 y posteriores
Apache Tomcat 8.5.40 y versiones posteriores
Apache Tomcat 7.0.94 y versiones posteriores

La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar un comando arbitrario en un servidor de Windows específico que ejecuta una versión afectada de Apache Tomcat, lo que resulta en un compromiso total.

La vulnerabilidad fue informada al equipo de seguridad de Apache Tomcat por un investigador de seguridad (no nombrado por la Fundación de Software Apache) el 3 de marzo de 2019 y se hizo pública el 10 de abril de 2019 después de que ASF lanzara las versiones actualizadas.
Esta vulnerabilidad de Apache se ha solucionado con el lanzamiento de Tomcat versión 9.0.19 (aunque el problema se solucionó en Apache Tomcat 9.0.18, el voto de lanzamiento para la versión 9.0.18 no se aprobó), la versión 8.5.40 y la versión 7.0. 93.

Por lo tanto, se recomienda encarecidamente a los administradores que apliquen las actualizaciones de software lo antes posible. Si no puede aplicar los parches de inmediato, debe asegurarse de que el valor de enableCmdLineArguments predeterminado del parámetro de inicialización del Servlet CGI esté establecido en falso.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam