政府电脑保安事故协调中心 - 保安警报 (A19-04-04): Apache Tomcat 漏洞

描述:

Apache Software Foundation 发布了 Apache Tomcat 7 、 8 及 9 的新版本以应对于 CGI servlet 中的漏洞。攻击者可通过 Java Runtime Environment (JRE) 传送命令列的参数致 Windows系统从而攻击这个漏洞。

受影响的系统:

Apache Tomcat 版本 7.0.0 至 7.0.93
Apache Tomcat 版本 8.5.0 至 8.5.39
Apache Tomcat 版本 9.0.0.M1 至 9.0.17

影响:

成功利用这个漏洞可以导致在受影响的系统上执行任意程式码。

建议:

Apache Software Foundation 发行了有关产品的新版本以应对以上问题。用户可从以下网址下载:

https://tomcat.apache.org/download-70.cgi
https://tomcat.apache.org/download-80.cgi
https://tomcat.apache.org/download-90.cgi

进一步信息:

https://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.94
https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.40
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.19
http://mail-archives.us.apache.org/mod_mbox/www-announce/201904.mbox/%3C13d878ec-5d49-c348-48d4-25a6c81b9605%40apache.org%3E
https://www.us-cert.gov/ncas/current-activity/2019/04/14/Apache-Releases-Security-Updates-Apache-Tomcat
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0232

标签 : Apache , Tomcat