Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Vulnerabilidad de ejecución remota de código en Apache Tomcat

Fecha de publicación: 11/04/2019

Importancia: Alta

Recursos afectados:

  • Apache Tomcat en la plataforma Windows, versiones:
    • Desde 7.0.0 hasta 7.0.93
    • Desde 8.5.0 hasta 8.5.39
    • Desde 9.0.0.M1 hasta 9.0.17

Descripción:

Esta vulnerabilidad fue identificada por un investigador de seguridad externo. Posteriormente, el equipo de seguridad de Apache Tomcat fue informado a través del programa bug bounty patrocinado por el proyecto EU FOSSA-2 el 3 de marzo de 2019, y se publicó el 10 de abril de 2019.

Solución:

Detalle:

  • Cuando se ejecuta en Windows con enableCmdLineArguments activado, el Servlet CGI es vulnerable a una ejecución remota de código (RCE) debido a un error en la forma en que el JRE pasa a Windows los argumentos de la línea de comandos. El Servlet CGI está deshabilitado por defecto. La opción de CGI enableCmdLineArguments está desactivada por defecto en Tomcat 9.0.x. Se ha asignado el identificador CVE-2019-0232 para esta vulnerabilidad.

Etiquetas: Actualización, Apache, Vulnerabilidad