首页 > 安全钻研 > 安全传递 > 安全公告

Apache Tomcat远程代码执行缝隙安全公告

颁布功夫 2019-04-12

缝隙编号和级别

CVE编号：CVE-2019-0232，危险级别：高危，CVSS分值：官方未评定

影响版本

Apache Tomcat 9.0.0.M1 to 9.0.17
Apache Tomcat 8.5.0 to 8.5.39

Apache Tomcat 7.0.0 to 7.0.93

缝隙概述

Apache Tomcat是美国阿帕奇（Apache）软件基金会的一款轻量级Web利用服务器。该法式实现了对Servlet和JavaServer Page（JSP）的支持。

4月11日，Apache官方颁布安全公告，由于JRE将号令行参数传递给Windows的方式存在谬误，会导致CGI Servlet受到远程执行代码的攻击。

触发该缝隙必要同时满足以下前提，请有关用户引起关注：
1. 系统为Windows
2. 启用了CGI Servlet（默以为关关）

3. 启用了enableCmdLineArguments（Tomcat 9.0.*版本及官方将来颁布版本默以为关关）

版本排查如下：
通常在Apache Tomcat官网下载的装置包名称中会蕴含有当前Tomcat的版本号，用户可通过查看解压后的文件夹名称来确定当前的版本。

GA黄金甲·(中国区)官方网站

若是解压后的Tomcat目录名称被建悔改，或者通过Windows Service Installer方式装置，可使用软件自带的version�？槔椿袢〉鼻暗陌姹�。进入tomcat装置目录的bin目录，输入号令version.bat后，可查看当前的软件版本号。

GA黄金甲·(中国区)官方网站

若是当前版本在影响领域内，且满足缝隙触发的3个前提，则当前系统可能存在风险，请有关用户实时更新。

缝隙验证

暂无POC/EXP。

建复建议

Apache官方还未正式颁布最新建复版本，请受影响的用户维持关注，官方更新后尽快升级进行防护。在官方颁布新版本之前，用户能够将CGI Servlet初始化参数enableCmdLineArguments设置为false来进行一时防护。

具体操作步骤如下：

1、在Tomcat装置蹊径的conf文件夹下，使用编纂器打开web.xml。

GA黄金甲·(中国区)官方网站

2、找到enableCmdLineArguments参数部门，增长如下配置：

GA黄金甲·(中国区)官方网站

3、沉启Tomcat服务，以确保配置生效。

参考链接

http://tomcat.apache.org/security-7.html
http://tomcat.apache.org/security-8.html
http://tomcat.apache.org/security-9.html
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201904-525

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Apache Tomcat远程代码执行缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线