La Apache Software Foundation ha
actualizado a una nueva versión su aplicación de Tomcat debiado a un importante
fallo de RCE (ejecución remota de código arbitrario), un fallo que reside en el
Common Gateway Interface (CGI) cuando corre en Windows con
enableCmdLineArguments activado. Esto es debido a la forma de ejecución propia de
Java Runtime Environment (JRE) a la hora de pasar argumentos del command line a
Windows.
Apache Tomcat es un servidor web de
código abierto que utiliza varias especificaciones de Java EE tales como: Java
Servlet, JavaServer Pages (JSP) o websockets para dotar de un entorno puro de
Java al servidor web.
La vulnerabilidad, clasificada con el
CVE CVE-2019-0232, fue reportada al equipo de la Apache Software Foundation en
la pasada Nightwatch Cybersecurity del 3 de marzo y han procedido a su actualización
solucionando el incidente este 10 de abril tal y como hicieron ver en su lista
de correo.
El fallo vinculado a RCE es explotable
cuando corre el Common Gateway Interface (CGI) Servlet en Windows con
enableCmdLineArguments activado. El motivo del por qué ocurre esto se debe a la
manera en la que Java Runtime Environment pasa argumentos del command line a
Windows. Para conocer más sobre su funcionamiento, se puede visitar el blog de
Markus Wulftange donde lo comenta.
Tanto el Servlet CGI como su opción
enableCmdLineArguments han sido desactivadas en las versión 9.0.x de Tomcat. El
RCE ha sido marcado como importante, pero no crítico.
Tal y como se afirma en el mail donde
avisan de esta vulnerabilidad y su mitigación, estas funcionalidades se
eliminarán por defecto en todas las versiones de Tomcat. Así pues, las
versiones afectadas han sido:
r De Apache Tomcat
9.0.0.M1 a 9.0.17
r De Apache Tomcat
8.5.0 a 8.5.39
r De Apache Tomcat
7.0.0 a 7.0.93
Por otro lado, las versiones que no
han visto perjudicadas son:
ü Apache Tomcat 9.0.18
y posterior
ü Apache Tomcat 8.5.40
y posterior
ü Apache Tomcat 7.0.94
y posterior
Por esta razón, se recomienda a los
administradores aplicar las actualizaciones pertinentes lo antes posible. En
caso de no poder aplicar los parches, es muy recomendable que el parámetro de
enableCmdLineArguments esté marcado como “false” en las configuraciones
pertinentes.
De no aplicar estos parches, se
estaría permitiendo a un atacante explotar esta vulnerabilidad ejecutando
código arbitrario en el servidor de Windows, comprometiendo gravemente el
sistema.
Más
información
Fuente: Hispasec