Vulnerabilità RCE su Apache Tomcat per Windows

15/04/2019

ApacheTomcat Patch rce windows

Apache Software Foundation (ASF) ha rilasciato una nuova versione dell’application server Tomcat che risolve una importante vulnerabilità di sicurezza.

La vulnerabilità identificata dal (CVE-2019-0232) risiede nel servlet CGI (Common Gateway Interface) quando è in esecuzione su sistemi Windows con enableCmdLineArguments attivato e si verifica a causa di un bug nel modo in cui Java Runtime Environment (JRE) passa gli argomenti della riga di comando a Windows. Lo sfruttamento di questa vulnerabilità potrebbe consentire a un utente malintenzionato remoto, di eseguire un comando arbitrario su un server Windows di destinazione che esegue una versione vulnerabile di Apache Tomcat, con conseguente compromissione completa del server.

Versioni di Tomcat Vulnerabili

  • Apache Tomcat 9.0.0.M1 to 9.0.17
  • Apache Tomcat 8.5.0 to 8.5.39
  • Apache Tomcat 7.0.0 to 7.0.93

Versioni di Tomcat NON Vulnerabili

  • Apache Tomcat 9.0.18 e successive
  • Apache Tomcat 8.5.40 e successive
  • Apache Tomcat 7.0.94 e successive

Raccomandazioni

La vulnerabilità è stata segnalata al team di sicurezza di Apache Tomcat da un ricercatore il 3 marzo 2019 ed è stata resa pubblica il 10 aprile 2019 dopo che l’ASF ha rilasciato le versioni aggiornate.

Questa vulnerabilità di Apache è stata risolta con il rilascio di Tomcat versione 9.0.19 , 8.5.40 e versione 7.0.94.

Pertanto, si raccomanda agli amministratori di sistema di applicare su ambiente Windows gli aggiornamenti del software il prima possibile. Se non è possible applicare immediatamente le patch, si consiglia di verificare che il valore predefinito enableCmdLineArguments del parametro di inizializzazione CGI Servlet sia impostato su false.