Apache Foundation ha lanzado actualizaciones de seguridad para tratar la vulnerabilidad con Apache Tomcat que permite a un atacante remoto explotar la vulnerabilidad y tomar control sobre la máquina vulnerable
La vulnerabilidad existe en el Servlet CGI, debido a la forma en que pasa los argumentos de la línea de comandos de JRE a las ventanas cuando se ejecuta con enableCmdLineArguments habilitado.
Apache corrigió la vulnerabilidad al deshabilitar la opción CGI enableCmdLineArguments de forma predeterminada. Esta vulnerabilidad puede ser rastreada como CVE-2019-0232.
El error fue identificado y reportado a la fundación Apache por un investigador de seguridad externo a través del programa de recompensas de errores.
Versiones afectadas: Apache Tomcat 9.0.0.M1 a 9.0.17, Apache Tomcat 8.5.0 a 8.5.39, Apache Tomcat 7.0.0 a 7.0.93
Apache recomienda a los usuarios actualizar con las siguientes versiones y garantizar que el parámetro de inicialización del Servlet CGI enableCmdLineArguments esté configurado en falso.
- Actualícese a Apache Tomcat 9.0.18 o posterior cuando se publique.
- Actualice a Apache Tomcat 8.5.40 o posterior cuando se publique.
- Actualice a Apache Tomcat 7.0.93 o posterior cuando se publique.