apache tomcat

Apache Tomcat: Vulnérabilité d’exécution de code à distance patchée

La Apache Software Foundation (ASF) a distribué de nouvelles versions de son application de serveur Tomcat pour se débarrasser d’une importante vulnérabilité de sécurité qui permettait d’exécuter du code malveillant à distance et de prendre le contrôle du serveur affecté.

Apache Tomcat est un conteneur web libre de servlets et JSP Java EE. Issu du projet Jakarta, c’est un des nombreux projets de l’Apache Software Foundation. Il implémente les spécifications des servlets et des JSP du Java Community Process, est paramétrable par des fichiers XML et des propriétés, et inclut des outils pour la configuration et la gestion. Il comporte également un serveur HTTP.

Tomcat est un serveur HTTP à part entière. De plus, il gère les servlets et les JSP (par un compilateur Jasper compilant les pages JSP pour en faire des servlets). Tomcat a été écrit en langage Java. Il peut donc s’exécuter via la machine virtuelle Java sur n’importe quel système d’exploitation la supportant.

Catalina est le conteneur de servlets utilisé par Tomcat. Il est conforme aux spécifications servlet de Oracle Corporation et les JavaServer Pages (JSP). Coyote est le connecteur HTTP de Tomcat, compatible avec le protocole HTTP 1.1 pour le serveur web ou conteneur d’application. Jasper est le moteur JSP d’Apache Tomcat. Tomcat 9.x utilise Jasper 2, qui est une implémentation de la spécification JavaServer Pages 2.3 de Oracle. Jasper parse les fichiers JSP afin de les compiler en code Java en tant que servlets (gérés par Catalina). Pendant son exécution, Jasper est capable de détecter et recompiler automatiquement les fichiers JSP modifiés.

La vulnérabilité d’exécution de code à distance (CVE-2019-0232) réside dans le servlet Common Gateway Interface (CGI) quand il s’exécute sur Windows avec enableCmdLineArguments activé et se produit à cause d’un bug dans la façon dont Java Runtime Environment (JRE) utilise les lignes de commandes Windows.

Le Servlet CGI est désactivé par défaut et l’option enableCmdLineArguments est désactivé par défaut dans Tomcat 9.0.x, la vulnérabilité d’exécution de code à distance a été évalué comme étant importante.

En réponse à cette vulnérabilité, l’option enableCmdLineArguments sera désacivé par défaut dans toutes les versions de Apache Tomcat.

apache tomcat

Versions Tomcat Affectées

  • Tomcat 9.0.0.M1 jusqu’à 9.0.17
  • Tomcat 8.5.0 jusqu’à 8.5.39
  • Tomcat 7.0.0 jusqu’à 7.0.93

Versions Tomcat Non-Affectées

  • Apache Tomcat 9.0.18 et les versions suivantes
  • Apache Tomcat 8.5.40 et les versions suivantes
  • Apache Tomcat 7.0.94 et les versions suivantes

La vulnérabilité a été reporté à l’équipe de sécurité de Apache Tomcat par des chercheurs de Nightwatch Cybersecurity le 3 Mars 2019 et a été rendue publique le 10 Avril 2019 après la distribution des nouvelles versions.

Les administrateurs doivent installer les mises à jour le plus vite possible. Si vous ne pouvez pas appliquer les patches immédiatement, assurez vous au moins que la valeur du paramètre enableCmdLineArguments est « fausse ».

Laisser un commentaire