首页 > 清静研究 > 清静转达 > 清静通告

Apache Tomcat远程代码执行误差清静通告

宣布时间 2019-04-12

误差编号和级别

CVE编号：CVE-2019-0232，，，，，，危险级别：高危，，，，，，CVSS分值：官方未评定

影响版本

Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39

Apache Tomcat 7.0.0 to 7.0.93

误差概述

Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web应用效劳器。。。。。。。该程序实现了对Servlet和JavaServer Page（JSP）的支持。。。。。。。

4月11日，，，，，，Apache官方宣布清静通告，，，，，，由于JRE将下令行参数转达给Windows的方法保存过失，，，，，，会导致CGI Servlet受到远程执行代码的攻击。。。。。。。

触发该误差需要同时知足以下条件，，，，，，请相关用户引起关注：
1. 系统为Windows
2. 启用了CGI Servlet（默以为关闭）

3. 启用了enableCmdLineArguments（Tomcat 9.0.*版本及官方未来宣布版本默以为关闭）

版本排查如下：
通常在Apache Tomcat官网下载的装置包名称中会包括有目今Tomcat的版本号，，，，，，用户可通过审查解压后的文件夹名称来确定目今的版本。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

若是解压后的Tomcat目录名称被修悔改，，，，，，或者通过Windows Service Installer方法装置，，，，，，可使用软件自带的version�？？？？？？？槔椿袢∧拷竦陌姹�。。。。。。。进入tomcat装置目录的bin目录，，，，，，输入下令version.bat后，，，，，，可审查目今的软件版本号。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

若是目今版本在影响规模内，，，，，，且知足误差触发的3个条件，，，，，，则目今系统可能保存危害，，，，，，请相关用户实时更新。。。。。。。

误差验证

暂无POC/EXP。。。。。。。

修复建议

Apache官方还未正式宣布最新修复版本，，，，，，请受影响的用户坚持关注，，，，，，官方更新后尽快升级举行防护。。。。。。。在官方宣布新版本之前，，，，，，用户可以将CGI Servlet初始化参数enableCmdLineArguments设置为false来举行暂时防护。。。。。。。

详细操作办法如下：

1、在Tomcat装置路径的conf文件夹下，，，，，，使用编辑器翻开web.xml。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2、找到enableCmdLineArguments参数部分，，，，，，添加如下设置：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

3、重启Tomcat效劳，，，，，，以确保设置生效。。。。。。。

参考链接

http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-525

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Apache Tomcat远程代码执行误差清静通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线