当地时间4月10日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞(CVE-2019-0232)。在启用了enableCmdLineArguments的Windows上运行时,由于JRE将命令行参数传递给Windows的方式存在错误,CGI Servlet很容易受到远程执行代码的攻击。CGI Servlet默认是关闭的。
漏洞详细信息可参考:
https://codewhitesec.blogspot.com/2016/02/java-and-command-line-injections-in-windows.html
https://web.archive.org/web/20161228144344/https://blogs.msdn.microsoft.com/twistylittlepassagesallalike/2011/04/23/everyone-quotes-command-line-arguments-the-wrong-way/
受影响的版本
- Apache Tomcat 9.0.0.M1 to 9.0.17
- Apache Tomcat 8.5.0 to 8.5.39
- Apache Tomcat 7.0.0 to 7.0.93
不受影响的版本
- Apache Tomcat 9.0.18
- Apache Tomcat 8.5.40
- Apache Tomcat 7.0.94
解决方案
Apache官方还未正式发布以上最新版本,受影响的用户请保持关注,在官方更新后尽快升级进行防护。与此同时,用户可以将CGI Servlet初始化参数enableCmdLineArguments设置为false来进行防护。
参考链接:
http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
解决建议
版本排查
通常在Apache Tomcat官网下载的安装包名称中会包含有当前Tomcat的版本号,用户可通过查看解压后的文件夹名称来确定当前的版本。
如果解压后的Tomcat目录名称被修改过,或者通过Windows Service Installer方式安装,可使用软件自带的version模块来获取当前的版本。进入tomcat安装目录的bin目录,输入命令version.bat后,可查看当前的软件版本号。
如果当前版本在影响范围内,且满足漏洞触发的3个条件,则当前系统可能存在风险,请相关用户及时更新。
关闭enableCmdLineArguments参数
Apache官方还未正式发布最新修复版本,请受影响的用户保持关注,官方更新后尽快升级进行防护。在官方发布新版本之前,用户可以将CGI Servlet初始化参数enableCmdLineArguments设置为false来进行临时防护。具体操作步骤如下:
1、在Tomcat安装路径的conf文件夹下,使用编辑器打开web.xml。
2、找到enableCmdLineArguments参数部分,添加如下配置:
3、重启Tomcat服务,以确保配置生效。
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。