快速导航×

预警编号:ns-2019-0013

2019-04-11

TAG： Apache Tomcat、远程代码执行、CVE-2019-0232、Windows 危害等级：

高，此漏洞可能被攻击者利用以实现远程代码执行。

版本：

1.0

1

漏洞简介

4月11日，Apache官方发布安全公告，指出由于JRE在Windows环境下传递命令行参数的方式存在缺陷，导致CGI Servlet可能遭受远程代码执行攻击。

触发此漏洞需要同时满足以下条件，相关用户请务必注意：

1. 操作系统为Windows

2. 启用了CGI Servlet（默认情况下未启用）

3. 启用了enableCmdLineArguments参数（Tomcat 9.0.*版本及未来版本默认关闭）

参考链接：

https://www.php.cn/link/f4431fbd60ca4a4e72238472ebb7c421

https://www.php.cn/link/01f3ae292bbeea9a6cbe6c6f6e812cde

https://www.php.cn/link/de5b9939cb64c828db4806df02b88cfb

SEE MORE →

2受影响的版本

受影响的版本包括：

小爱开放平台

小米旗下小爱开放平台

291 查看详情

Apache Tomcat 9.0.0.M1 - 9.0.17Apache Tomcat 8.5.0 - 8.5.39Apache Tomcat 7.0.0 - 7.0.93已修复的版本：

Apache Tomcat 9.0.18Apache Tomcat 8.5.40Apache Tomcat 7.0.94目前Apache官方尚未正式发布修复版本，请受影响的用户密切关注官方的更新动态。

3解决方案

3.1 版本检查

通常，Apache Tomcat的安装包名称中包含版本号，用户可以通过查看解压后的文件夹名称来确认当前的版本。

如果Tomcat目录名称被更改，或者通过Windows Service Installer安装，可以使用软件自带的version模块来获取当前版本。进入Tomcat安装目录的bin文件夹，运行version.bat命令，即可查看当前的软件版本号。

如果当前版本在受影响范围内，且满足漏洞触发的三个条件，则系统可能存在风险，请相关用户及时更新。

3.2 禁用enableCmdLineArguments参数

在Apache官方发布最新修复版本之前，请受影响的用户保持关注，并在更新发布后尽快升级以进行防护。在此之前，用户可以通过将CGI Servlet的初始化参数enableCmdLineArguments设置为false来进行临时防护。具体操作步骤如下：

1、在Tomcat安装路径的conf文件夹中，使用文本编辑器打开web.xml文件。

2、找到enableCmdLineArguments参数部分，添加如下配置：

3、重启Tomcat服务，以确保配置生效。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用于描述可能存在的安全问题，绿盟科技不对此安全公告提供任何保证或承诺。因传播、利用此安全公告所提供的信息而导致的任何直接或间接后果及损失，均由使用者本人承担，绿盟科技及安全公告作者对此不承担任何责任。

绿盟科技保留对此安全公告的修改和解释权。如需转载或传播此安全公告，必须保证其完整性，包括版权声明等全部内容。未经绿盟科技许可，不得任意修改或增减此安全公告内容，不得将其用于任何商业目的。

以上就是【漏洞预警】Apache Tomcat远程代码执行漏洞（CVE-2019-0232）预警通告的详细内容，更多请关注其它相关文章！

# 将其  # 营销推广周记怎么写啊  # 坚果营销推广策划  # 网站建设哪里推广好  # 石碣全网推广营销获客工具  # 中山营销seo  # 衡水关键词排名推广软件  # 福建推广互联网营销公司  # 网站关键词推广优化费用  # 东莞seo 推荐聊城博达网络  # 廉江网站优化软件  # 相关文章  # 不承担  # tomcat  # 并在  # 在此  # 对此  # 可以通过  # 命令行  # 小爱  # win  # 操作系统  # apache  # windows  # html 

相关栏目： 【 企业资讯168 】 【 行业动态50218 】 【 媒体报道120512 】

相关推荐： solo交友软件怎么恢复聊天记录  命令行如何运行c  win10windows资源管理器在哪里打开  电脑显示屏上power是什么意思  typescript如何开发  typescript全局配置放哪里  虚拟机如何用命令清除垃圾  选哪个折叠屏手机好  unix时间戳是什么意思  j*a中如何创建列表数组  苹果16哪些型号好  哪里要用typescript  苹果手机16系统有哪些  夸克缺什么登录不了  苹果16有哪些黑科技  360手机壁纸怎么改  m*en repository的作用是什么  ai如何重复使用上一命令  苹果16哪些功能好用  typescript有什么框架  固态硬盘如何查看盘符  光刻机是干什么用的  HTML5如何引用typescript  固态硬盘如何打开软件  j*a怎么保存到数组  导航power在汽车上是什么意思  春运抢票哪个城市好抢  8800日元等于多少人民币  typescript怎么用  为什么夸克网盘下载不了  苹果16有哪些改善  春运抢票最多能抢几趟车  单片机是怎么复位的  苹果16有哪些可以设置  手机全功能type-c接口是什么意思  typescript为什么能运行  5G类似微信的聊天软件有哪些  linux环境中如何使用ping命令  j*a如何执行cmd命令  市盈率动亏损是什么意思  焊机上power灯闪是什么意思  为什么ai老是说链接面板中缺少某些文件  如何开发typescript  单身聊天app有哪些软件 2025最靠谱的单身交友软件推荐  j*a怎么用json数组  j*a中怎么截取数组  pp是什么意思  如何检测固态硬盘温度  soup是什么意思  苹果16颜色有哪些