Tomcat – zdalne wykonanie kodu. Ale nie panikuj, pewnie nie jesteś podatny

Właśnie wydano nową wersję Tomcata (w kilku liniach). Oficjalny opis potrafi postawić włosy na głowie:

Important: Remote Code Execution on Windows CVE-2019-0232

Jeśli poczytamy dalej, dowiemy się że podatny jest moduł CGI (który jest domyślnie wyłączony). Konfiguracji Tomcat+CGI+Windows raczej nie będzie zbyt wiele, stąd ograniczona liczba ofiar… Jeśli z kolei ktoś uruchamia z poziomu Javy pod Windows osobne procesy (jak to ma miejsce w CGI), warto zapoznać się tym wątkiem.

–ms