آسیب پذیری

آپاچی Tomcat: وصله امنیتی مهم

بنیاد نرم‌افزاری آپاچی برای رفع یک آسیب‌پذیری‌های امنیتی مهم نسخه جدیدی از سرور Tomcat را منتشر کرده است. این آسیب‌پذیری به مهاجم اجازه اجرای کد مخرب از راه دور و در اختیار گرفتن سرور را می‌دهد.

آپاچی Tomcat یک وب سرور متن‌باز و یک کانتینر Servlet است که توسط بنیاد نرم‌افزار آپاچی توسعه داده می‌شود. آپاچی Tomcat یک پیاده‌سازی از قرارداد جی‌اس‌پی اوراکل و همین‌طور Java Servlet است و یک محیط وب سرور HTTP «تماماً جاوایی» را برای کدهای جاوا فراهم می‌کند تا در آن محیط اجرا شوند.

این حفره امنیتی (CVE-2019-0232) در CGI Servlet زمانی که بر روی ویندوز اجراشده و گزینه enableCmdLineArguments فعال باشد، قرار دارد. این آسیب‌پذیری به دلیل باگی که ماشین مجازی جاوا (JRE) در رد کردن آرگومان‌های خط فرمان به ویندوز دارد، رخ می‌دهد.

با توجه به این‌که CGI Servlet و گزینه enableCmdLineArguments به‌صورت پیش‌فرض در Tomcat 9.0.x غیرفعال است، آسیب‌پذیری اجرای کد از راه دور با عنوان مهم (و نه بحرانی) رده‌بندی‌شده است.

در پاسخ به این آسیب‌پذیری، گزینه CGI Servlet و enableCmdLineArguments به‌صورت پیش‌فرض برای همه نسخه‌های آپاچی Tomcat غیرفعال خواهد شد.

نسخه‌های تحت تأثیر Tomcat

  • نسخه‌های  9.0.0.M1 تا ۹.۰.۱۷
  • نسخه‌های ۸.۵.۰ تا ۸.۵.۳۹
  • نسخه‌های ۷.۰.۰ تا ۷.۰.۹۳

نسخه‌های بدون مشکل Tomcat

  • نسخه‌های ۹.۰.۱۸ به بعد
  • نسخه‌های ۸.۵.۴۰ به بعد
  • نسخه‌های ۷.۰.۹۴ به بعد

سوءاستفاده از این آسیب‌پذیری به مهاجم اجازه اجرای دستور دلخواه از راه دور را در سرور ویندوزی که سرور آپاچی Tomcat آسیب‌پذیر بر روی آن اجراشده است، می‌دهد.

این آسیب‌پذیری به تیم امنیتی آپاچی Tomcat ماه قبل (اسفند ۹۷) گزارش‌شده است و پنج روز قبل (فروردین ۹۸) به همراه به‌روزرسانی نسخه‌ها به‌صورت عمومی منتشرشده است.

این آسیب‌پذیری در نسخه‌های ۹.۰.۱۹، ۸.۵.۴۰ و ۷.۰.۹۳ رفع شده است.

توصیه می‌شود در سریع‌ترین زمان ممکن به‌روزرسانی‌ها اعمال شود.

درصورتی‌که به هر دلیلی امکان به‌روزرسانی وجود نداشت مطمئن شوید پارامتر enableCmdLineArguments با مقدار false غیرفعال شده باشد.

مطالب مرتبط:
به روزرسانی کتابخانه FileUpload پلتفرم Apache Struts 2
رخنه امنیتی در WebLogic شرکت Oracle به ارزش ۲۲۶ هزار دلار!
به‌روزرسانی محصولات شرکت Oracle

منبع: The Hacker News

آپاچی Tomcat: وصله امنیتی مهم

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top