Ο Apache διορθώνει την απομακρυσμένη παράκαμψη εκτέλεσης κώδικα στον διακομιστή web Tomcat

Η Apache κυκλοφόρησε μια ενημέρωση ασφαλείας για την αντιμετώπιση μιας σημαντικής ευπάθειας στον διακομιστή ιστού Tomcat που θα μπορούσε να οδηγήσει σε έναν εισβολέα να επιτύχει απομακρυσμένη εκτέλεση κώδικα.

Το Apache Tomcat είναι ένας διακομιστής web ανοιχτού κώδικα και ένα κοντέινερ servlet που χρησιμοποιείται ευρέως για την ανάπτυξη και εκτέλεση εφαρμογών Ιστού που βασίζονται σε Java. Παρέχει ένα περιβάλλον χρόνου εκτέλεσης για τεχνολογίες Java Servlets, JavaServer Pages (JSP) και Java WebSocket.

Το προϊόν είναι δημοφιλές σε μεγάλες επιχειρήσεις που εκτελούν προσαρμοσμένες εφαρμογές ιστού, παρόχους SaaS που βασίζονται στην Java για υπηρεσίες υποστήριξης. Οι υπηρεσίες cloud και φιλοξενίας ενσωματώνουν τοTomcat για φιλοξενία εφαρμογών και οι προγραμματιστές λογισμικού το χρησιμοποιούν για τη δημιουργία, τη δοκιμή και την ανάπτυξη εφαρμογών ιστού.

Η ευπάθεια που διορθώθηκε παρακολουθείται ως CVE-2024-56337 και αντιπροσωπεύει έναν πλήρη μετριασμό για CVE-2024-50379μια κρίσιμη απομακρυσμένη εκτέλεση κώδικα (RCE), για την οποία ο προμηθευτής κυκλοφόρησε μια ενημέρωση κώδικα στις 17 Δεκεμβρίου.

Μετά την κυκλοφορία της ενημερωμένης έκδοσης που διορθώνει το CVE-2024-50379, η ομάδα του Apache έμαθε ότι ο μετριασμός ήταν ατελής για πελάτες που εκτελούσαν εικονικές μηχανές με παλαιότερες εκδόσεις Java.

Και τα δύο αναγνωριστικά CVE αναφέρονται στην ίδια ευπάθεια, αλλά με το CVE-2024-56337 το Apache παρέχει πρόσθετες λεπτομέρειες μετριασμού που αντιμετωπίζουν πλήρως την αρχική ευπάθεια, υπογραμμίζοντας ότι οι διαχειριστές πρέπει να κάνουν κάποιες αλλαγές με μη αυτόματο τρόπο.

Ως εκ τούτου, η αρχική σύσταση να αναβάθμιση στην πιο πρόσφατη Tomcat οι εκδόσεις (επί του παρόντος 11.0.2, 10.1.34 και 9.0.98) δεν επαρκούν για την αντιμετώπιση του κινδύνου και απαιτούνται επίσης οι ακόλουθες αλλαγές:

• εάν εκτελείται σε Java 8 ή 11, συνιστάται να ορίσετε την ιδιότητα συστήματος “sun.io.useCanonCaches‘ σε ‘false’ (προεπιλογή: true)
• εάν εκτελείται σε Java 17 καιsun.io.useCanonCaches‘ έχει οριστεί, πρέπει να ρυθμιστεί ως false (προεπιλογή: false)
• για Java 21 και μεταγενέστερη έκδοση, δεν απαιτείται ρύθμιση παραμέτρων. Η ιδιότητα και η προβληματική κρυφή μνήμη έχουν αφαιρεθεί

Το ζήτημα ασφαλείας είναι μια ευπάθεια συνθηκών αγώνα χρόνου χρήσης (TOCTOU) που επηρεάζει συστήματα με ενεργοποιημένη την προεπιλεγμένη εγγραφή servlet (η παράμετρος προετοιμασίας «readonly» έχει οριστεί σε false) και εκτελείται σε συστήματα αρχείων χωρίς διάκριση πεζών-κεφαλαίων.

Το ζήτημα επηρεάζει το Apache Tomcat 11.0.0-M1 έως 11.0.1, 10.1.0-M1 έως 10.1.33 και 9.0.0.M1 έως 9.0.97.

Η ομάδα του Apache μοιράστηκε σχέδια για βελτιώσεις ασφάλειας στις επερχόμενες εκδόσεις του Tomcat, 11.0.3, 10.1.35 και 9.0.99. Συγκεκριμένα, η Tomcat θα ελέγξει ότι το ‘sun.io.useCanonCaches’ έχει ρυθμιστεί σωστά πριν ενεργοποιήσει την πρόσβαση εγγραφής για τον προεπιλεγμένο servlet σε συστήματα αρχείων χωρίς διάκριση πεζών-κεφαλαίων και θα προεπιλογεί το ‘sun.io.useCanonCaches’ σε false όπου είναι δυνατόν.

Αυτές οι αλλαγές στοχεύουν στην αυτόματη επιβολή ασφαλέστερων διαμορφώσεων και στη μείωση του κινδύνου εκμετάλλευσης των CVE-2024-50379 και CVE-2024-56337.

ΕΚΣΥΓΧΡΟΝΙΖΩ [December 24]: Το άρθρο επεξεργάστηκε για να διευκρινιστεί ότι η νέα ευπάθεια προσθέτει λεπτομέρειες μετριασμού για περιπτώσεις που εκτελούν παλαιότερες εκδόσεις Java