Une vulnérabilité sur Apache TOMCAT permettant d'exécuter du code arbitraire à distance

L'équipe de développement d’Apache a publié un bulletin de sécurité corrigeant une vulnérabilité considérée importante par l'éditeur sur l'application serveur Tomcat. Un attaquant pourrait l’exploiter afin d’effectuer une exécution de code à distance sur les serveurs Apache Tomcat déployée sur Windows. Cette attaque serait assez complexe à mettre en œuvre et nécessite un niveau d'authentification faible. L'impact estimé sur la confidentialité et l'intégrité des données est important.

Apache Tomcat est un conteneur Web libre de JSP Java EE. Ce composant implémente les spécifications des servlets, une classe Java permettant de créer des données dynamiquement au sein d’un serveur web. La faille est présente dans la classe Java CGI Servlets : l’environnement d’exécution de Java (JRE) permet d’injecter des arguments en ligne de commande.

La vulnérabilité a été repérée par un chercheur en sécurité et reportée à l’équipe de sécurité d’Apache le 3 mars. Sa publication a été effectuée le 10 avril 2019.  

Détails techniques :

CVE-2019-0232 [CVSS V3 8.1] :  Lorsque le serveur Apache Tomcat déployé sur Windows active le paramètre "enableCmdLineArguments" dans la configuration de CGI Servlets une exécution de code à distance est possible sur les machines vulnérables. Aucune interaction avec un utilisateur ou escalade de privilège ne sont requis pour effectuer cette attaque.

Il est à noter que CGI Servlets est désactivé par défaut.  

Des correctifs ont été publiés par Apache et sont disponibles au téléchargement depuis le 12 avril pour les versions 7.x et 8.x. et 9.x. Du fait de la criticité de cette vulnérabilité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.