APACHE TOMCAT. Parcheado un importante fallo de RCE

La Apache Software Foundation ha actualizado a una nueva versión su aplicación de Tomcat debiado a un importante fallo de RCE (ejecución remota de código arbitrario), un fallo que reside en el Common Gateway Interface (CGI) cuando corre en Windows con enableCmdLineArguments activado. Esto es debido a la forma de ejecución propia de Java Runtime Environment (JRE) a la hora de pasar argumentos del command line a Windows.

Apache Tomcat es un servidor web de código abierto que utiliza varias especificaciones de Java EE tales como: Java Servlet, JavaServer Pages (JSP) o websockets para dotar de un entorno puro de Java al servidor web.

La vulnerabilidad, clasificada con el CVE CVE-2019-0232, fue reportada al equipo de la Apache Software Foundation en la pasada Nightwatch Cybersecurity del 3 de marzo y han procedido a su actualización solucionando el incidente este 10 de abril tal y como hicieron ver en su lista de correo.

El fallo vinculado a RCE es explotable cuando corre el Common Gateway Interface (CGI) Servlet en Windows con enableCmdLineArguments activado. El motivo del por qué ocurre esto se debe a la manera en la que Java Runtime Environment pasa argumentos del command line a Windows. Para conocer más sobre su funcionamiento, se puede visitar el blog de Markus Wulftange donde lo comenta.

Tanto el Servlet CGI como su opción enableCmdLineArguments han sido desactivadas en las versión 9.0.x de Tomcat. El RCE ha sido marcado como importante, pero no crítico.

Tal y como se afirma en el mail donde avisan de esta vulnerabilidad y su mitigación, estas funcionalidades se eliminarán por defecto en todas las versiones de Tomcat. Así pues, las versiones afectadas han sido:

r  De Apache Tomcat 9.0.0.M1 a 9.0.17

r  De Apache Tomcat 8.5.0 a 8.5.39

r  De Apache Tomcat 7.0.0 a 7.0.93

Por otro lado, las versiones que no han visto perjudicadas son:

ü  Apache Tomcat 9.0.18 y posterior

ü  Apache Tomcat 8.5.40 y posterior

ü  Apache Tomcat 7.0.94 y posterior

Por esta razón, se recomienda a los administradores aplicar las actualizaciones pertinentes lo antes posible. En caso de no poder aplicar los parches, es muy recomendable que el parámetro de enableCmdLineArguments esté marcado como “false” en las configuraciones pertinentes.

De no aplicar estos parches, se estaría permitiendo a un atacante explotar esta vulnerabilidad ejecutando código arbitrario en el servidor de Windows, comprometiendo gravemente el sistema.

Más información

·        https://mail-archives.us.apache.org/mod_mbox/www-announce/201904.mbox/%3C13d878ec-5d49-c348-48d4-25a6c81b9605%40apache.org%3E

·        https://nvd.nist.gov/vuln/detail/CVE-2019-0232

Fuente: Hispasec