Apache Software Foundation (ASF) vydala bezpečnostní aktualizaci, která řeší důležitou zranitelnost v softwaru serveru Tomcat, jež by za určitých podmínek mohla vést k vzdálenému spuštění kódu (RCE).
Zranitelnost, označená jako CVE-2024-56337, byla popsána jako neúplná mitigace pro CVE-2024-50379 (CVSS skóre: 9,8), což je další kritická bezpečnostní chyba ve stejném produktu, která byla dříve řešena 17. prosince 2024.
„Uživatelé, kteří provozují Tomcat na souborovém systému nerozlišujícím velikost písmen s povoleným výchozím servletem pro zápis (inicializační parametr readonly nastaven na ne-výchozí hodnotu false), mohou potřebovat další konfiguraci k úplné mitigaci CVE-2024-50379 v závislosti na verzi Javy, kterou používají s Tomcatem,“ uvedli správci projektu v poradním dokumentu.
Obě chyby jsou zranitelnosti typu Time-of-check Time-of-use (TOCTOU) závodní podmínky, které by mohly vést ke spuštění kódu na souborových systémech nerozlišujících velikost písmen, pokud je výchozí servlet povolen pro zápis.
„Současné čtení a nahrávání stejného souboru pod zátěží může obejít kontroly citlivosti na velikost písmen v Tomcatu a způsobit, že nahraný soubor bude považován za JSP, což vede k vzdálenému spuštění kódu,“ uvedl Apache v upozornění na CVE-2024-50379.
CVE-2024-56337 ovlivňuje následující verze Apache Tomcat:
– Apache Tomcat 11.0.0-M1 až 11.0.1 (opraveno ve verzi 11.0.2 nebo novější)
– Apache Tomcat 10.1.0-M1 až 10.1.33 (opraveno ve verzi 10.1.34 nebo novější)
– Apache Tomcat 9.0.0.M1 až 9.0.97 (opraveno ve verzi 9.0.98 nebo novější)
Kromě toho musí uživatelé provést následující změny konfigurace v závislosti na verzi Javy, kterou používají:
– Java 8 nebo Java 11 – Explicitně nastavit systémovou vlastnost sun.io.useCanonCaches na hodnotu false (výchozí hodnota je true)
– Java 17 – Nastavit systémovou vlastnost sun.io.useCanonCaches na hodnotu false, pokud je již nastavena (výchozí hodnota je false)
– Java 21 a novější – Není nutná žádná akce, protože systémová vlastnost byla odstraněna
ASF poděkovala bezpečnostním expertům Nacl, WHOAMI, Yemoli a Ruozhi za identifikaci a nahlášení obou nedostatků. Rovněž uznala tým KnownSec 404 za nezávislé nahlášení CVE-2024-56337 s důkazem konceptu (PoC).
Zdroj: thehackernews
Foto: Apache Tomcat
