Apache修复了Tomcat应用服务器中的危险RCE缺陷

Apache Software Foundation已发布其Tomcat应用程序服务器软件的更新，解决了一个重要的远程执行代码漏洞。Tomcat是在开源许可下开发和提供的，是Java应用程序的Servlet容器，旨在提供纯粹由Java规范和框架组成的Web服务器环境。

该缺陷指定为CVE-2019-0232，影响Tomcat版本9.0.0.M1至9.0.17,8.5.0至8.5.39和7.0.0至7.0.93。该错误是由命令行参数从Java运行时环境传递到Windows的问题引起的，并且影响在启用了命令行参数的Windows上运行的CGI Servlet的实例。

虽然此漏洞可能允许黑客远程执行受影响服务器上的代码，但其严重性被指定为“重要”而非“严重”，因为默认情况下禁用了有问题的Servlet，启用命令行的选项也是如此后来的Tomcat版本中的参数。

本月早些时候，一位未透露姓名的安全研究人员发现了这个漏洞并向Apache报告，并且作为Tomcat版本9.0.19,8.5.40和7.0.93的一部分发布补丁后，该基金会披露了该漏洞。

迫切建议管理员修补其庄园内任何受影响的服务器。Apache软件中的漏洞导致了许多引人注目的漏洞，包括臭名昭着的Equifax hack，这是未修补的Apache Spark服务器的结果。