Apache Tomcat unter Windows für Remote Code Execution Sicherheitslücke anfällig

Die Apache Software Foundation (ASF) hat neue Versionen ihres Tomcat-Anwendungsservers veröffentlicht, um eine wichtige Sicherheitslücke zu beheben, die es einem entfernten Angreifer ermöglichen könnte, bösartigen Code auszuführen und die Kontrolle über einen betroffenen Server zu übernehmen.

Apache Tomcat wurde von ASF entwickelt und ist ein Open-Source-Webserver- und Servletsystem, das mehrere Java-EE-Spezifikationen wie Java Servlet, JavaServer Pages (JSP), Expression Language und WebSocket verwendet, um eine "reine Java"-HTTP-Webserverumgebung für das Java-Konzept bereitzustellen.

Die Sicherheitslücke für die Ausführung von Remote-Code (CVE-2019-0232) befindet sich im Common Gateway Interface (CGI)-Servlet, wenn sie unter Windows ausgeführt wird mit enableCmdLineArgumente aktivieren aktiviert und tritt aufgrund eines Fehlers in der Art und Weise auf, wie die Java Runtime Environment (JRE) Befehlszeilenargumente an Windows übergibt.

Da das CGI-Servlet standardmäßig deaktiviert ist und seine Option enableCmdLineArguments in Tomcat 9.0.x standardmäßig deaktiviert ist, wurde die Sicherheitslücke bei der Ausführung von Remote-Code als wichtig und nicht kritisch eingestuft.

Als Reaktion auf diese Schwachstelle wird die Option CGI Servlet enableCmdLineArguments nun in allen Versionen von Apache Tomcat standardmäßig deaktiviert.

Betroffene Tomcat-Versionen

  • Apache Tomcat 9.0.0.0.M1 bis 9.0.17
  • Apache Tomcat 8.5.0 bis 8.5.39
  • Apache Tomcat 7.0.0.0 bis 7.0.93

Unberührte Tomcat-Versionen

  • Apache Tomcat 9.0.18 und höher
  • Apache Tomcat 8.5.40 und höher
  • Apache Tomcat 7.0.94 und höher

Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte es einem entfernten Angreifer ermöglichen, einen beliebigen Befehl auf einem bestimmten Windows-Server mit einer betroffenen Version von Apache Tomcat auszuführen, was zu einem vollständigen Kompromiss führt.

Die Schwachstelle wurde dem Apache Tomcat-Sicherheitsteam von Forschern von Nightwatch Cybersecurity am 3. März 2019 gemeldet und am 10. April 2019 veröffentlicht, nachdem die ASF die aktualisierten Versionen veröffentlicht hatte.

Diese Apache-Verletzung wurde mit der Veröffentlichung von Tomcat Version 9.0.19 (obwohl das Problem in Apache Tomcat 9.0.18 behoben wurde, die Abstimmung über die Veröffentlichung von 9.0.18 wurde nicht validiert), Version 8.5.40 und Version 7.0.93 behoben.

Daher wird den Administratoren dringend empfohlen, die Software-Updates so schnell wie möglich zu installieren. Wenn Sie die Patches nicht sofort anwenden können, sollten Sie sicherstellen, dass der Standardwert enableCmdLineArguments des Initialisierungsparameters CGI Servlet auf false gesetzt ist.