Apache Software Foundation lanzó nuevas versiones de Tomcat para resolver una vulnerabilidad que permitiría a un atacante ejecutar código e incluso controlar un servidor vulnerable.
La vulnerabilidad (CVE-2019-0232) se encontraba en el Servlet CGI (Common Gateway Interface) cuando éste corría en Windows con el parámetro enableCmdLineArguments habilitado, debido a un error en cómo JRE (Java Runtime Environment) pasa los argumentos en línea de comandos a Windows.
Una explotación exitosa de la misma permitiría a un atacante la ejecución de código arbitrario sobre el sistema Windows donde se encontrase corriendo la versión vulnerable de Tomcat.
Con el fin de mitigar la vulnerabilidad, una opción es deshabilitar el parámetro enableCmdLineArguments del Servlet CGI o bien actualizar a las versiones de Apache Tomcat a partir de las cuales el parámetro enableCmdLineArguments se encontrará deshabilitado por defecto (8.5.40 / 7.0.93), como hardening adicional contra la explotación de la vulnerabilidad.
Si bien la versión 9.0.19 no se encuentra disponible, cabe mencionar que en las versiones de Tomcat 9.0.X tanto el Servlet CGI como el parámetro enableCmdLineArguments se encuentran deshabilitados por defecto.