首页 > 清静研究 > 清静转达 > 清静通告

Apache Tomcat远程代码执行误差清静通告

宣布时间 2019-04-12

误差编号和级别

CVE编号：CVE-2019-0232，危险级别：高危，CVSS分值：官方未评定

影响版本

Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39

Apache Tomcat 7.0.0 to 7.0.93

误差概述

Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。

4月11日，Apache官方宣布清静通告，由于JRE将下令行参数转达给Windows的方法保存过失，会导致CGI Servlet受到远程执行代码的攻击。

触发该误差需要同时知足以下条件，请相关用户引起关注：
1. 系统为Windows
2. 启用了CGI Servlet（默以为关闭）

3. 启用了enableCmdLineArguments（Tomcat 9.0.*版本及官方未来宣布版本默以为关闭）

版本排查如下：
通常在Apache Tomcat官网下载的装置包名称中会包括有目今Tomcat的版本号，用户可通过审查解压后的文件夹名称来确定目今的版本。

尊龙凯时·(中国区)人生就是搏!

若是解压后的Tomcat目录名称被修悔改，或者通过Windows Service Installer方法装置，可使用软件自带的version�？槔椿袢∧拷竦陌姹�。进入tomcat装置目录的bin目录，输入下令version.bat后，可审查目今的软件版本号。

尊龙凯时·(中国区)人生就是搏!

若是目今版本在影响规模内，且知足误差触发的3个条件，则目今系统可能保存危害，请相关用户实时更新。

误差验证

暂无POC/EXP。

修复建议

Apache官方还未正式宣布最新修复版本，请受影响的用户坚持关注，官方更新后尽快升级举行防护。在官方宣布新版本之前，用户可以将CGI Servlet初始化参数enableCmdLineArguments设置为false来举行暂时防护。

详细操作办法如下：

1、在Tomcat装置路径的conf文件夹下，使用编辑器翻开web.xml。

尊龙凯时·(中国区)人生就是搏!

2、找到enableCmdLineArguments参数部分，添加如下设置：

尊龙凯时·(中国区)人生就是搏!

3、重启Tomcat服务，以确保设置生效。

参考链接

http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-525

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

Apache Tomcat远程代码执行误差清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线