Apache Tomcat xavfli zaiflikni yamaydi
Zaiflikdan muvaffaqiyatli foydalanish tizimning to’liq buzilishiga olib keladi.
Apache Software Foundation (ASF) masofadan turib kodni bajarish va serverni egallashga imkon beradigan jiddiy zaiflikni bartaraf etish uchun Apache Tomcat veb-serverining yangi versiyalarini chiqardi. Zaiflik (CVE-2019-0232) Common Gateway Interface (CGI) Servletida joylashgan va «enableCmdLineArguments» sozlamasi yoqilgan Windows qurilmalariga ta’sir qiladi. Muammo Java Runtime Environment (JRE) buyruq satri argumentlarini Windowsga qanday uzatishi bilan bog’liq. CGI Servlet va «enableCmdLineArguments» sozlamasi Tomcat 9.0 dan boshlab sukut bo’yicha o’chirilganligi sababli, xato jiddiy, ammo muhim emas deb hisoblanadi.
Zaiflik 9.0.17 dan oldingi Apache Tomcat 9.0.0.M1 versiyalariga, 8.5.39 dan oldingi Apache Tomcat 8.5.0 va 7.0.93 dan oldingi Apache Tomcat 7.0.0 versiyalariga ta’sir qiladi. Apache Tomcat 9.0.18 va undan oldingi versiyalari, Apache Tomcat 8.5.40 va undan keyingi versiyalari hamda Apache Tomcat 7.0.94 va undan oldingi versiyalari ta’sirlanmaydi.
Zaiflikdan muvaffaqiyatli foydalanish Apache Tomcatning zaif versiyasini ishga tushiradigan Windows serverida kodni masofadan turib bajarish imkonini beradi va tizimni butunlay xavf ostiga qo’yadi.
Muammo Tomcat 9.0.19, 8.5.40 va 7.0.93 versiyalarining chiqarilishi bilan hal qilindi. Barcha foydalanuvchilarga yangilanishlarni iloji boricha tezroq o’rnatish tavsiya etiladi. Agar buning iloji bo’lmasa, «enableCmdLineArguments» parametrini «false» ga o’rnatish tavsiya etiladi.
