Apache phát hành bản vá lỗ hổng bảo mật nghiêm trọng trong Apache Tomcat
Tổ chức Apache Software Foundation (ASF) mới đây đã phát hành phiên bản mới của ứng dụng Apache Tomcat nhằm giải quyết một lỗ hổng bảo mật nghiêm trọng, có thể cho phép tin tặc tấn công thực thi mã lệnh tùy ý từ xa và kiểm soát hoàn toàn máy chủ bị tấn công.
Apache phát hành bản vá lỗ hổng nghiêm trọng trong Apache Tomcat - CyberSec365.org |
Được phát triển bởi ASF, Apache Tomcat là một máy chủ web và hệ thống servlet mã nguồn mở, sử dụng một số đặc tả Java EE như Java Servlet, JavaServer Pages (JSP), Expression Language, và WebSocket để cung cấp môi trường máy chủ web HTTP "thuần Java".
Lỗ hổng bảo mậy này (có mã hiệu CVE-2019-0232) nằm trong Common Gateway Interface (CGI) Servlet khi chạy trên nền tảng Windows với enableCmdLineArguments được kích hoạt và xảy ra do lỗi trong cách Java Runtime Environment (JRE) chuyển cac đối số dòng lệnh sang Windows.
Tuy nhiên, do CGI Servlet bị tắt theo mặc định và tùy chọn enableCmdLineArgument bị tắt theo mặc định trong Tomcat 9.0.x, lỗ hổng thực thi mã từ xa này không được đánh giá là rất nghiêm trọng.
Để ứng phó với lỗ hổng này, Apache Software Foundation (ASF) sẽ mặc định tắt tùy chọn CGI Servlet enableCmdLineArguments trên tất cả các phiển bản của Apache Tomcat.
Các phiên bản Apache Tomcat bị ảnh hưởng bởi lỗ hổng CVE-2019-0232:
- Apache Tomcat 9.0.0.M1 to 9.0.17
- Apache Tomcat 8.5.0 to 8.5.39
- Apache Tomcat 7.0.0 to 7.0.93
Các phiên bản Apache Tomcat không bị ảnh hưởng bởi lỗ hổng trên:
- Tomcat Apache 9.0,18 trở lên
- Apache Tomcat 8.5.40 trở lên
- Apache Tomcat 7.0.94 trở lên
Theo các nhà nghiên cứu, khi tin tặc tiến hành khai thác thành công lỗ hổng bảo mật CVE-2019-0232, tin tặc có thể tiến hành các cuộc tấn công thực thi mã tùy ý từ xa trên máy chủ Windows bị nhắm mục tiêu và chiếm quyền điều khiển toàn bộ máy chủ.
Được biết, lỗ hổng đã được báo cáo cho nhóm bảo mật Apache Tomcat bởi một nhà nghiên cứu bảo mật giấu tên, vào ngày 3 tháng 3 năm 2019 và được công khai vào ngày 10 tháng 4 năm 2019 sau khi ASF phát hành các phiên bản cập nhật.
Hiện tại, các quản trị viên được khuyến khích áp dụng các bản cập nhật phần mềm càng sớm càng tốt. Nếu bạn không thể áp dụng các bản vá ngay lập tức, bạn nên đảm bảo giá trị EnableCmdLineArgument của tham số khởi tạo CGI Servlet được đặt thành false.
Không có nhận xét nào