Nuevo fallo de RCE afecta a Apache Tomcat

15 Abril 2019
Alto

Apache Software Foundation (ASF) lanzó una nueva versión de su servidor de aplicaciones Tomcat, para corregir una importante vulnerabilidad que podría permitir a un atacante ejecutar código remoto (RCE) y tomar el control del servidor afectado.

Tomcat es un servidor de código abierto que usa varias especificaciones Java EE, como Java Servlet, JavaServer Pages (JSP), Expression Language y WebSocket, para entregar un servidor web HTTP “Java puro” para ejecutar Java.

El fallo de RCE se produce cuando la opción enableCmdLineArguments del servlet CGI (Common Gateway Interface), se encuentra habilitada al ejecutarse en Windows. De todas formas, la vulnerabilidad fue calificada como importante y no crítica, porque la opción  está deshabilitada predeterminadamente en Tomcat 9.0.x. Por otra parte, ASF también la deshabilitó en todas las versiones de Tomcat afectadas.

Se recomienda actualizar a la versión 9.0.19 de de Tomcat. O bien, asegurarse que la opción enableCmdLineArguments de servlet CGI esté deshabilitada.

El listado de las CVE se adjunta a continuación:


Tags: #apache #asf #tomcat #rce #java #servletcgi #cgi #javaee #javaservlet #jsp #websocket #http
  • Productos Afectados
  • Producto Versión
    Apache Tomcat 7.0.0 a 7.0.93


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.