Apache Tomcat یک نقص اجرای کد از راه دور مهم را وصله کرد.

بنیاد نرم‌افزار آپاچی^(۱) نسخه‌های جدیدی از برنامه‌های سرور کاربردی Tomcat را برای رفع یک آسیب‌پذیری امنیتی منتشر کرده است که می‌تواند به یک مهاجم از راه دور اجازه دهد تا یک کد موذی را اجرا کند و کنترل یک سرور آسیب‌پذیر را بر عهده گیرد.

Apache Tomcat که توسط ASF طراحی شده است، یک وب سرور منبع باز و سیستم servlet است که از چندین ویژگی Java EE مانند Java Servlet، JavaServer Pages (JSP)، Expression Language و WebSocket برای فراهم آوردن یک محیط وب سرور HTTP خالص برای Java استفاده می‌کند تا آن را اجرا کند.

این آسیب‌پذیری اجرای کد از راه دور (CVE-2019-0232) در CGI⁽²⁾ سیستم Servlet و هنگامی‌که در ویندوز و با enableCmdLineArguments فعال می‌شود، قرار دارد[۱] و به دلیل یک اشکال درروشی که JRE⁽³⁾ استدلال‌های خط فرمان^(۴) را به ویندوز انتقال می‌دهد، به وجود آمده است.

ازآنجاکه CGI Servlet به‌طور پیش‌فرض غیرفعال شده است و گزینه enableCmdLineArguments آن به‌طور پیش‌فرض در Tomcat 9.0.x غیرفعال است، این آسیب‌پذیری اجرای کد از راه دور در دسته‌بندی آسیب‌پذیری‌های مهم قرارگرفته و نه آسیب‌پذیری‌های حیاتی.

در پاسخ به این آسیب‌پذیری، اکنون گزینه enableCmdLineArguments در CGI Servlet به‌طور پیش‌فرض و در تمام نسخه‌های Apache Tomcat غیرفعال شده است.

نسخه‌های آسیب‌پذیر Tomcat:

• Apache Tomcat 9.0.0.M1 to 9.0.17
• Apache Tomcat 8.5.0 to 8.5.39
• Apache Tomcat 7.0.0 to 7.0.93

نسخه‌هایی از Tomcat که آسیب‌پذیر نیستند:

• Apache Tomcat 9.0.18 and later
• Apache Tomcat 8.5.40 and later
• Apache Tomcat 7.0.94 and later

بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به یک مهاجم از راه دور اجازه دهد تا یک فرمان دلخواه را روی سرور ویندوز مورد هدف اجرا کند و یک نسخه آسیب‌دیده از آپاچی را اجرا کند و درنتیجه کنترل سیستم موردنظر را به‌طور کامل در اختیار قرار گیرد.

این آسیب‌پذیری در ۳ مارس ۲۰۱۹ توسط تیمی از محققانی از Nightwatch Cybersecurity به تیم امنیتی آپاچی گزارش شد[۲] و در تاریخ ۱۰ آوریل ۲۰۱۹ و پس از انتشار نسخه‌های به‌روز شده‌ی ASF، به‌طور عمومی اعلام شد.

این آسیب‌پذیری آپاچی با انتشار نسخه ۹٫۰٫۱۹، ۸٫۵٫۴۰ و نسخه ۷٫۰٫۹۳ نرم‌افزار Tomcat برطرف شده است (هرچند این مسئله درApache Tomcat  نسخه ۹٫۰٫۱۸ نیز برطرف شده است، اما اجازه انتشار برای نسخه ۹٫۰٫۱۸ صادر نشد).

بنابراین، به مدیران به‌شدت توصیه می‌شود تا در اسرع وقت به‌روزرسانی‌های این نرم‌افزار را اعمال کنند. اگر شما نمی‌توانید بلافاصله این وصله‌ها را اعمال کنید، باید مطمئن شوید که مقدار پیش‌فرض enableCmdLineArguments در CGI Servlet در حالت false تنظیم شده باشد.

منابع

[۱]https://mail-archives.us.apache.org/mod_mbox/www-announce/201904.mbox/%3C13d878ec-5d49-c348-48d4-25a6c81b9605%40apache.org%3E

[۲]https://wwws.nightwatchcybersecurity.com/2019/04/15/upcoming-advisory-for-apache-tomcat-vulnerability-cve-2019-0232

[۳] https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html

(۱) The Apache Software Foundation (ASF)
(۲) Common Gateway Interface
(۳) Java Runtime Environment
(۴) command line arguments