Apache dicht gevaarlijke kwetsbaarheid in Tomcat application server

Stay tuned, abonneer!

De Apache Software Foundation heeft een update uitgebracht voor zijn Tomcat application server-software, waarin een belangrijke kwetsbaarheid gedicht wordt. Het gaat om een remote code execution-kwetsbaarheid, schrijft IT Pro.

Tomcat wordt ontwikkeld en aangeboden onder open source-licenties. Het is een Servlet-container voor Java-apps, ontworpen om een web server-omgeving te bieden die alleen maar bestaat uit Java-specificaties en -frameworks. De dienst bevat nu dus een kwetsbaarheid, waarmee hackers op afstand code uit kunnen voeren op de servers.

Niet kritiek

De kwetsbaarheid, genaamd CVE-2019-0232, heeft impact op Tomcat-versies 9.0.0.M1 tot 9.0.17, 8.5.0 tot 8.5.39 en 7.0.0 tot 7.0.93. De fout wordt veroorzaakt door een probleem met hoe command line-argumenten doorgegeven worden vanuit de Java Runtime Environment naar Windows, en raakt instances van de CGI Servlet die op Windows draait als command line-argumenten aan staan.

Hoewel de kwetsbaarheid hackers in staat stelt om op afstand code uit te voeren op getroffen servers, werd het ernstniveau op ‘belangrijk’ gesteld, in plaats van ‘kritiek’. Dit is omdat de Servlet in kwestie standaard uitstaat, net als de optie om command line-argumenten aan te zetten in latere Tomcat-versies.

De kwetsbaarheid werd eerder deze maand ontdekt en gemeld bij Apache door een onbekende beveiligingsonderzoeker. De Foundation heeft de kwetsbaarheid naar buiten gebracht na de release van zijn patches, als onderdeel van Tomcat-versies 9.0.19, 8.5.40 en 7.0.93. Administrators wordt aangeraden om de patch te installeren op getroffen servers.

Eerdere kwetsbaarheid

Eerder deze maand werd bekend dat ook de Apache HTTP Server – de meest gebruikte Web-server van het internet – een ernstige kwetsbaarheid bevatte. Daarmee was het voor niet-vertrouwde gebruikers of software mogelijk om onbeperkte controle te krijgen over de machine waar de software op draait.

Met de kwetsbaarheid was het mogelijk om scripts zonder privileges om gevoelige delen van het geheugen van de server te overschrijven, uit te voeren. Een malafide script zou die kwetsbaarheid in kunnen zetten om root-toegang te krijgen. De fout is inmiddels opgelost.