Apache Tomcat Patches Kesalahan Eksekusi Kode Remote Penting - Otak Kita

Apache Tomcat Patches Kesalahan Eksekusi Kode Remote Penting


OtakKita - Apache Software Foundation (ASF) telah merilis versi baru dari server aplikasi Tomcat untuk mengatasi kerentanan keamanan penting yang dapat memungkinkan penyerang jarak jauh untuk mengeksekusi kode berbahaya dan mengendalikan server yang terpengaruh.

Dikembangkan oleh ASF, Apache Tomcat adalah server web sumber terbuka dan sistem servlet, yang menggunakan beberapa spesifikasi Java EE seperti Java Servlet, JavaServer Pages (JSP), Expression Language, dan WebSocket untuk menyediakan lingkungan server web HTTP "Java murni" untuk Konsep Java untuk dijalankan.

Kerentanan eksekusi kode jarak jauh (CVE-2019-0232) berada di Servlet Common Gateway Interface (CGI) ketika berjalan pada Windows dengan enableCmdLineArguments diaktifkan dan terjadi karena bug dalam cara Java Runtime Environment (JRE) melewati argumen baris perintah untuk Windows.

Karena CGI Servlet dinonaktifkan secara default dan opsi ini memungkinkanCmdLineArguments dinonaktifkan secara default di Tomcat 9.0.x, kerentanan eksekusi kode jauh telah dinilai sebagai penting dan tidak kritis.

Menanggapi kerentanan ini, opsi CGI Servlet enableCmdLineArguments sekarang akan dinonaktifkan secara default di semua versi Apache Tomcat.

Versi Tomcat yang Terkena Dampak

  •     Apache Tomcat 9.0.0.M1 hingga 9.0.17
  •     Apache Tomcat 8.5.0 hingga 8.5.39
  •     Apache Tomcat 7.0.0 hingga 7.0.93



Versi Tomcat yang tidak terpengaruh

  •     Apache Tomcat 9.0.18 dan yang lebih baru
  •     Apache Tomcat 8.5.40 dan yang lebih baru
  •     Apache Tomcat 7.0.94 dan yang lebih baru



Eksploitasi kerentanan ini yang berhasil dapat memungkinkan penyerang jarak jauh untuk menjalankan perintah sewenang-wenang pada server Windows yang ditargetkan yang menjalankan versi Apache Tomcat yang terkena dampak, sehingga menghasilkan kompromi penuh.

Kerentanan dilaporkan ke tim keamanan Apache Tomcat oleh seorang peneliti keamanan (tidak disebutkan oleh Yayasan Perangkat Lunak Apache) pada 3 Maret 2019 dan diumumkan pada 10 April 2019 setelah ASF merilis versi terbaru.

Kerentanan Apache ini telah diatasi dengan rilis Tomcat versi 9.0.19 (meskipun masalah telah diperbaiki di Apache Tomcat 9.0.18, suara rilis untuk rilis 9.0.18 tidak lulus), versi 8.5.40 dan versi 7.0. 93.

Jadi, administrator sangat disarankan untuk menerapkan pembaruan perangkat lunak sesegera mungkin. Jika Anda tidak dapat langsung menerapkan tambalan, Anda harus memastikan bahwa nilai default initialization parameter CGI Servlet memungkinkanCmdLineArguments disetel ke false.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel