-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [18/04/2019]: Vulnerabilidade no Apache Tomcat Web Server Prezados, O CAIS alerta para a recente vulnerabilidade crítica encontrada na versão do servidor web Apache Tomcat para sistemas Microsoft Windows que pode permitir a execução remota de códigos maliciosos no sistema. Já foram publicados códigos de exploração para esta vulnerabilidade. DESCRIÇÃO A vulnerabilidade se refere à possibilidade de um usuário malicioso escalar privilégios e executar códigos maliciosos no sistema operacional Windows através do processo do Apache Tomcat, e assim tomar controle total do sistema. Para explorar a vulnerabilidade, o Servlet CGI (Common Gateway Interface) do Apache Tomcat precisa estar com o parâmetro "enableCmdLineArguments" habilitado. O usuário malicioso pode explorar a falha do JRE (Java Runtime Environment) ao passar os argumentos da interface de linha de comando para o sistema Windows e, através dele, enviar uma solicitação maliciosa para o servlet e executar comandos no sistema operacional com privilégios de sistema. Com isso, o usuário pode assumir o controle do sistema afetado e executar comandos com permissão do processo do Apache Tomcat, podendo instalar programas, visualizar, alterar ou apagar dados, criar novas contas e alterar direitos de acessos de outros usuários. SISTEMAS IMPACTADOS Servidor Web Apache Tomcat para Windows VERSÕES AFETADAS Apache Tomcat 9.0.0.M1 até 9.0.17 Apache Tomcat 8.5.0 até 8.5.39 Apache Tomcat 7.0.0 até 7.0.93 CORREÇÕES DISPONÍVEIS - - Atualizar as respectivas versões do Apache Tomcat para Windows. Para o Apache Tomcat 9, atualizar para a versão Apache Tomcat 9.0.18 [7] Para o Apache Tomcat 8, atualizar para a versão Apache Tomcat 8.5.40 [8] Para o Apache Tomcat 7, atualizar para a versão Apache Tomcat 7.0.94 [9] - - Desabilitar o parâmetro "enableCmdLineArguments", setando o seu valor para "false" IDENTIFICADORES CVE (http://cve.mitre.org) CVE-2019-0232 MAIS INFORMAÇÕES [1] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0232 [2] https://nvd.nist.gov/vuln/detail/CVE-2019-0232 [3] https://www.securityfocus.com/bid/107906/info [4] https://www.bleepingcomputer.com/news/security/important-severity-remote-code-execution-vulnerability-patched-in-tomcat/ [5] https://thehackernews.com/2019/04/apache-tomcat-security-flaw.html [6] https://devcentral.f5.com/articles/apache-tomcat-remote-code-execution-on-windows-cve-2019-0232-34162 [7] https://tomcat.apache.org/download-90.cgi [8] https://tomcat.apache.org/download-80.cgi [9] https://tomcat.apache.org/download-70.cgi O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhadas pelas redes sociais da RNP. Siga-nos! Twitter: @RedeRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais@cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel https://www.cais.rnp.br/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- Version: OpenPGP.js v2.6.2 Comment: https://openpgpjs.org wsFcBAEBCAAQBQJcuLr9CRB83qA0uPj0mAAANCEQAJVj8N9BkQQYG79kaPKk tKNYJGkDIa/ezCmvm/9vT6iJuj2cXrrxQ19c2U5iiWXXVO2ROdo2QCJzl5BV 37kLPo9rW5R7MprZPReGeGSBV2rlcZ+xob1qNhgTZ9iAPENCaZv2t4beqOXy uJIOGkghqIzhHKoCAZjpS4ZAZ2oVE3peAiNoU0nr9gg9EBD7AfnrrAhJiGOP Vaxd9nfwPJnUeKvvEkzWhfvVbu0BQ/IaqIBYMwzMDgVZYlOyVjEfZHLHBt7m xeV3nASZJrj5lN6djBqOLirw5XFtfCunCUSM8gY1AQu6iG2IHRNbQTYkJ6cS qs4AOU9c/bU4LDGeSM6W6A7KgmEAyuxQj5UmCxG2lQb9IFgDM6Z2BrPBpD7z lTsO1fvGWqUVt5G4KliJ3lNqtflfFRScenRE8JxvgjzSMLFI4jIl+5J1dG47 ZXxhMBZ6lQ2t8aKDFdQFxpdm8Zy2uk8iUm+7GQztgLkuaEtEe0iwZF768bJ3 /fmsk7XM31y8cqGEloTZusdzsp8NFfHRqTTM12RbVVpMeR8/CFhH6wHAz0gV 3gZwKKVhgDdeKMPNyrMoR1dfuvm1YM0DlHsGPA4R1NIl7XCZYLPvblJMcuWI HYMYw5G9cfHZAGJ5e9f4CXrpqlYOzutuXrd4o6GJi5hxcx+4thS/qsj29MXA F7oS =FV1K -----END PGP SIGNATURE----- _______________________________________________ RNP-Alerta rnp-alerta@listas.rnp.br http://listas.rnp.br/mailman/listinfo/rnp-alerta