Fundacja Apache Software Foundation (ASF) opublikowała aktualizację zabezpieczeń dla oprogramowania serwerowego Tomcat, usuwającą krytyczną lukę zidentyfikowaną jako CVE-2024-56337. Ta wada może umożliwić zdalne wykonanie kodu (RCE) w określonych warunkach. Dotyczy wersji Apache Tomcat od 11.0.0-M1 do 11.0.1, 10.1.0-M1 do 10.1.33 i 9.0.0.M1 do 9.0.97. Użytkownicy proszeni są o aktualizację do wersji 11.0.2, 10.1.34 i 9.0.98 w celu ograniczenia ryzyka.
Apache Software Foundation naprawia krytyczną lukę w Tomcat
Opisano programistów z ASF CVE-2024-56337 jako niepełne łagodzenie CVE-2024-50379kolejna krytyczna usterka naprawiona w grudniu 2024 r. z wynikiem CVSS wynoszącym 9,8. Obie luki wynikają z problemów związanych z wyścigiem czasu sprawdzenia i użycia (TOCTOU), które mogą prowadzić do nieautoryzowanego wykonania kodu w systemach plików niewrażliwych na wielkość liter, gdy domyślny serwlet ma możliwość zapisu. Dzieje się tak, gdy przesłane pliki pomijają funkcję sprawdzania wielkości liter przez Tomcat ze względu na równoczesne operacje odczytu i przesyłania.
Aby w pełni wyeliminować te luki, administratorzy muszą wdrożyć określone zmiany konfiguracyjne w zależności od używanej wersji Java. W przypadku oprogramowania Java 8 lub Java 11 wymagane jest ustawienie właściwości systemowej sun.io.useCanonCaches na wartość false, która domyślnie ma wartość true. Użytkownicy Java 17 powinni sprawdzić, czy ta właściwość, jeśli jest ustawiona, jest skonfigurowana jako false; domyślnie ma wartość false. W przypadku oprogramowania Java 21 i nowszych wersji nie jest wymagane żadne działanie, ponieważ właściwość systemowa została usunięta.
ASF przyznało, że badacze bezpieczeństwa Nacl, WHOAMI, Yemoli i Ruozhi zgłosili te luki. Podziękowali także zespołowi KnownSec 404 za niezależny raport na temat CVE-2024-56337, który zawierał kod potwierdzający koncepcję (PoC).
Fortinet wzywa do natychmiastowego działania: krytyczna wada RCE ujawnia systemy
Potrzeba pilnych działań w zakresie bezpieczeństwa Tomcat
Ujawnienie CVE-2024-56337 stanowi ważne przypomnienie dla użytkowników Tomcat. Chociaż pierwsza łatka w grudniu miała na celu zabezpieczenie systemu, późniejsze analizy wykazały, że aby zapewnić pełną ochronę, konieczne były dodatkowe środki. W rezultacie decyzja o wydaniu nowego identyfikatora CVE podkreśla potrzebę podjęcia przez administratorów systemu działań wykraczających poza zwykłe zastosowanie poprawek.
Luki dotyczą przede wszystkim przedsiębiorstw i dostawców usług korzystających z Tomcat jako backendu dla aplikacji Java. Biorąc pod uwagę szerokie zastosowanie Tomcata, wpływ tych wad może być znaczący. W poradniku nalega się, aby użytkownicy dokładnie ocenili swoje konfiguracje, zwłaszcza te, które korzystają z systemów plików niewrażliwych na wielkość liter i z włączonym domyślnym serwletem.
W odpowiedzi na ciągłe problemy z bezpieczeństwem zespół ASF planuje ulepszenia, które będą automatycznie sprawdzać konfigurację właściwości sun.io.useCanonCaches przed zezwoleniem na dostęp do zapisu dla domyślnego serwletu w przyszłych wydaniach Tomcat. Oczekiwane aktualizacje są ustawione dla wersji 11.0.3, 10.1.35 i 9.0.99. Te ulepszenia mają na celu zmniejszenie ryzyka wystąpienia luk podobnych do CVE-2024-50379 i CVE-2024-56337 w przyszłości.
Jednocześnie inicjatywa Zero Day Initiative (ZDI) ujawniła niedawno inną krytyczną lukę w zabezpieczeniach: CVE-2024-12828wpływający na Webmin, z wynikiem CVSS wynoszącym 9,9. Ta wada umożliwia uwierzytelnionym zdalnym atakującym wykonanie dowolnego kodu ze względu na niewłaściwą weryfikację ciągów dostarczonych przez użytkownika podczas obsługi żądania CGI, co może zagrozić integralności systemu.
Bezpieczeństwo pozostaje sprawą najwyższej wagi na wszystkich platformach oprogramowania.
Autor wyróżnionego obrazu: Kerem Gülen/Midjourney
