Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Apache Tomcat parches importante defecto de ejecución de código remoto

  • 0 Respuestas
  • 706 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Conectado Dragora

  • *
  • Moderador
  • Mensajes: 254
  • Actividad:
    100%
  • Reputación 9
  • La resistencia es inútil, serás absorbido.
    • Ver Perfil
« en: Abril 17, 2019, 03:03:28 pm »

Apache Tomcat parches importante defecto de ejecución de código remoto

Apache Software Foundation (ASF) ha lanzado nuevas versiones de su servidor de aplicaciones Tomcat para abordar una importante vulnerabilidad de seguridad que podría permitir a un atacante remoto ejecutar código malicioso y tomar control de un servidor afectado.
Desarrollado por ASF, Apache Tomcat es un servidor web de código abierto y un sistema servlet, que utiliza varias especificaciones Java EE como Java Servlet, JavaServer Pages (JSP), Expression Language y WebSocket para proporcionar un entorno de servidor web HTTP "Java puro" para El concepto Java para ejecutarse.
La vulnerabilidad de ejecución remota de código http:// ( CVE-2019-0232 ) reside en el Servlet de Interfaz de puerta de enlace común (CGI) cuando se ejecuta en Windows con enableCmdLineArguments habilitado y se produce debido a un error en la forma en que el Java Runtime Environment (JRE) pasa los argumentos de la línea de comandos a Windows.


Dado que el Servlet CGI está deshabilitado de forma predeterminada y su opción enableCmdLineArguments está deshabilitada de forma predeterminada en Tomcat 9.0.x, la vulnerabilidad de ejecución remota de código se ha calificado de importante y no crítica.

En respuesta a esta vulnerabilidad, la opción enableCmdLineArguments del Servlet CGI ahora estará deshabilitada de forma predeterminada en todas las versiones de Apache Tomcat.


Versiones de Tomcat afectadas

- Apache Tomcat 9.0.0.M1 a 9.0.17

- Apache Tomcat 8.5.0 a 8.5.39

-Apache Tomcat 7.0.0 a 7.0.93



Versiones de Tomcat no afectadas


- Apache Tomcat 9.0.18 y posteriores

- Apache Tomcat 8.5.40 y versiones posteriores

- Apache Tomcat 7.0.94 y versiones posteriores



La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto ejecutar un comando arbitrario en un servidor de Windows específico que ejecuta una versión afectada de Apache Tomcat, lo que resulta en un compromiso total.


Investigadores de Nightwatch Cybersecurity informaron la vulnerabilidad al equipo de seguridad de Apache Tomcat el 3 de marzo de 2019 y se hicieron públicos el 10 de abril de 2019 después de que ASF publicara las versiones actualizadas.
Esta vulnerabilidad de Apache se ha solucionado con el lanzamiento de Tomcat versión 9.0.19 (aunque el problema se solucionó en Apache Tomcat 9.0.18, el voto de lanzamiento para la versión 9.0.18 no se aprobó), la versión 8.5.40 y la versión 7.0. 93.
Por lo tanto, se recomienda encarecidamente a los administradores que apliquen las actualizaciones de software lo antes posible. Si no puede aplicar los parches de inmediato, debe asegurarse de que el valor de enableCmdLineArguments predeterminado del parámetro de inicialización del Servlet CGI esté establecido en falso.




Vía: thehackernews.com
« Última modificación: Abril 17, 2019, 03:38:29 pm por Gabriela »

 

¿Te gustó el post? COMPARTILO!



Hackean tres antivirus y roban su código fuente: ¿quién nos protege ahora?

Iniciado por Dragora

Respuestas: 0
Vistas: 437
Último mensaje Mayo 10, 2019, 01:14:38 pm
por Dragora
Atentos jugadores de World of Warcraft:línea de código compromete a sus usuarios

Iniciado por Gabriela

Respuestas: 1
Vistas: 1276
Último mensaje Julio 27, 2016, 04:50:43 am
por RisingMage
HP dejó que Rusia revisara el código fuente de software de defensa del Pentagono

Iniciado por Andrey

Respuestas: 0
Vistas: 949
Último mensaje Octubre 18, 2017, 10:50:10 am
por Andrey
Las aplicaciones más populares de Android están creadas con código vulnerable

Iniciado por ANTRAX

Respuestas: 0
Vistas: 1226
Último mensaje Julio 30, 2014, 09:44:59 pm
por ANTRAX
Encuentran una forma eficaz de saltarse el código de acceso de un iPhone

Iniciado por HATI

Respuestas: 0
Vistas: 1083
Último mensaje Septiembre 18, 2016, 08:09:42 am
por HATI