Apache Tomcat: Faille d’exécution de code à distance patchée

La Apache Software Foundation (ASF) a distribué de nouvelles versions de son application de serveur Tomcat pour se débarrasser d’une importante vulnérabilité de sécurité qui permettait d’exécuter du code malveillant à distance et de prendre le contrôle du serveur affecté.

Apache Tomcat, c’est quoi?

Apache Tomcat est un conteneur web libre de servlets et JSP Java EE. Issu du projet Jakarta, c’est un des nombreux projets de l’Apache Software Foundation. Il implémente les spécifications des servlets et des JSP du Java Community Process, est paramétrable par des fichiers XML et des propriétés, et inclut des outils pour la configuration et la gestion. Il comporte également un serveur HTTP.

Tomcat est un serveur HTTP à part entière. De plus, il gère les servlets et les JSP (par un compilateur Jasper compilant les pages JSP pour en faire des servlets). Tomcat a été écrit en langage Java. Il peut donc s’exécuter via la machine virtuelle Java sur n’importe quel système d’exploitation la supportant.

Catalina est le conteneur de servlets utilisé par Tomcat. Il est conforme aux spécifications servlet de Oracle Corporation et les JavaServer Pages (JSP). Coyote est le connecteur HTTP de Tomcat, compatible avec le protocole HTTP 1.1 pour le serveur web ou conteneur d’application. Jasper est le moteur JSP d’Apache Tomcat. Tomcat 9.x utilise Jasper 2, qui est une implémentation de la spécification JavaServer Pages 2.3 de Oracle. Jasper parse les fichiers JSP afin de les compiler en code Java en tant que servlets (gérés par Catalina). Pendant son exécution, Jasper est capable de détecter et recompiler automatiquement les fichiers JSP modifiés.

solr apache

La vulnérabilité d’exécution de code à distance (CVE-2019-0232) réside dans le servlet Common Gateway Interface (CGI) quand il s’exécute sur Windows avec enableCmdLineArguments activé et se produit à cause d’un bug dans la façon dont Java Runtime Environment (JRE) utilise les lignes de commandes Windows.

Le Servlet CGI est désactivé par défaut et l’option enableCmdLineArguments est désactivée par défaut dans Tomcat 9.0.x, la vulnérabilité d’exécution de code à distance a été évalué comme ayant une gravité importante.

En réponse à cette faille de sécurité, l’option enableCmdLineArguments sera désacivé par défaut dans toutes les versions de Apache Tomcat.

apache tomcat

Versions Tomcat Affectées

  • Tomcat 9.0.0.M1 jusqu’à 9.0.17
  • Tomcat 8.5.0 jusqu’à 8.5.39
  • Tomcat 7.0.0 jusqu’à 7.0.93

Versions Tomcat Non-Affectées

  • Apache Tomcat 9.0.18 et les versions suivantes
  • Apache Tomcat 8.5.40 et les versions suivantes
  • Apache Tomcat 7.0.94 et les versions suivantes

La faille de sécurité a été reporté à l’équipe de sécurité de Apache Tomcat par des chercheurs de Nightwatch Cybersecurity le 3 Mars 2019 et a été rendue publique le 10 Avril 2019 après la distribution des nouvelles versions.

Les administrateurs doivent installer les mises à jour d’Apache Tomcat le plus vite possible. Si vous ne pouvez pas appliquer les patches de sécurité immédiatement, assurez vous au moins que la valeur du paramètre enableCmdLineArguments est “fausse”.

Si cet article vous a plu, jetez un œil à un autre de nos articles concernant une précédente faille de sécurité liée à Apache que nous avons reporté.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x