Το κρίσιμο ελάττωμα Tomcat θα μπορούσε να εκθέσει τους διακομιστές σας σε επίθεση

Το Ίδρυμα Λογισμικού Apache (ASF) κυκλοφόρησε μια ενημέρωση ασφαλείας για το λογισμικό διακομιστή Tomcat, που αντιμετωπίζει μια κρίσιμη ευπάθεια που προσδιορίζεται ως CVE-2024-56337. Αυτό το ελάττωμα θα μπορούσε να ενεργοποιήσει την απομακρυσμένη εκτέλεση κώδικα (RCE) υπό συγκεκριμένες συνθήκες. Επηρεάζει τις εκδόσεις του Apache Tomcat από 11.0.0-M1 έως 11.0.1, 10.1.0-M1 έως 10.1.33 και 9.0.0.M1 έως 9.0.97. Οι χρήστες καλούνται να αναβαθμίσουν στις εκδόσεις 11.0.2, 10.1.34 και 9.0.98 για να μετριάσουν τους κινδύνους.

Το Apache Software Foundation αντιμετωπίζει το κρίσιμο ελάττωμα του Tomcat

Οι προγραμματιστές της ASF περιέγραψαν CVE-2024-56337 ως ελλιπές μετριασμό για CVE-2024-50379ένα άλλο κρίσιμο ελάττωμα που αντιμετωπίστηκε τον Δεκέμβριο του 2024 με βαθμολογία CVSS 9,8. Και οι δύο ευπάθειες προέρχονται από ζητήματα συνθηκών αγώνα χρόνου χρήσης (TOCTOU) που μπορεί να οδηγήσουν σε μη εξουσιοδοτημένη εκτέλεση κώδικα σε συστήματα αρχείων χωρίς διάκριση πεζών-κεφαλαίων όταν ο προεπιλεγμένος διακομιστής είναι ενεργοποιημένος για πρόσβαση εγγραφής. Αυτό συμβαίνει όταν τα μεταφορτωμένα αρχεία παρακάμπτουν τους ελέγχους ευαισθησίας πεζών-κεφαλαίων του Tomcat λόγω ταυτόχρονων ενεργειών ανάγνωσης και μεταφόρτωσης.

Για να μετριαστούν πλήρως αυτά τα τρωτά σημεία, οι διαχειριστές πρέπει να εφαρμόσουν συγκεκριμένες αλλαγές διαμόρφωσης ανάλογα με την έκδοση Java τους. Για Java 8 ή Java 11, απαιτείται να ορίσετε την ιδιότητα συστήματος sun.io.useCanonCaches σε false, η οποία από προεπιλογή είναι true. Οι χρήστες Java 17 θα πρέπει να επαληθεύσουν ότι αυτή η ιδιότητα, εάν έχει οριστεί, έχει ρυθμιστεί ως ψευδής. από προεπιλογή είναι ψευδής. Δεν απαιτείται καμία ενέργεια για Java 21 και νεότερες εκδόσεις, καθώς η ιδιότητα συστήματος έχει καταργηθεί.

Η ASF απέδωσε στους ερευνητές ασφαλείας Nacl, WHOAMI, Yemoli και Ruozhi για την αναφορά αυτών των τρωτών σημείων. Αναγνώρισαν επίσης την Ομάδα KnownSec 404 για την ανεξάρτητη αναφορά της σχετικά με το CVE-2024-56337, η οποία περιελάμβανε κωδικό απόδειξης της ιδέας (PoC).

Η Fortinet προτρέπει την άμεση δράση: Το κρίσιμο σφάλμα RCE αποκαλύπτει τα συστήματα

Χρειάζεται επείγουσα δράση για την ασφάλεια Tomcat

Η αποκάλυψη του CVE-2024-56337 λειτουργεί ως κρίσιμη υπενθύμιση για τους χρήστες Tomcat. Αν και η αρχική ενημέρωση κώδικα τον Δεκέμβριο είχε ως στόχο να εξασφαλίσει το σύστημα, οι μεταγενέστερες αναλύσεις αποκάλυψαν ότι ήταν απαραίτητα πρόσθετα μέτρα για να εξασφαλιστεί πλήρης προστασία. Ως αποτέλεσμα, η απόφαση έκδοσης ενός νέου CVE ID τονίζει την ανάγκη για τους διαχειριστές συστήματος να αναλάβουν δράση πέρα ​​από την απλή εφαρμογή ενημερώσεων κώδικα.

Τα τρωτά σημεία επηρεάζουν κυρίως τις επιχειρήσεις και τους παρόχους υπηρεσιών που χρησιμοποιούν το Tomcat ως backend για εφαρμογές Java. Δεδομένης της ευρείας χρήσης του Tomcat, ο αντίκτυπος αυτών των ελαττωμάτων θα μπορούσε να είναι σημαντικός. Η συμβουλευτική παροτρύνει τους χρήστες να αξιολογήσουν προσεκτικά τις διαμορφώσεις τους, ειδικά εκείνους που βασίζονται σε συστήματα αρχείων χωρίς διάκριση πεζών-κεφαλαίων με ενεργοποιημένο τον προεπιλεγμένο servlet.

Ως απόκριση σε τρέχοντα ζητήματα ασφαλείας, το ASF σχεδιάζει βελτιώσεις που θα ελέγχουν αυτόματα τη διαμόρφωση της ιδιότητας sun.io.useCanonCaches πριν επιτρέψουν την πρόσβαση εγγραφής για τον προεπιλεγμένο servlet σε μελλοντικές εκδόσεις του Tomcat. Οι αναμενόμενες ενημερώσεις έχουν οριστεί για τις εκδόσεις 11.0.3, 10.1.35 και 9.0.99. Αυτές οι βελτιώσεις στοχεύουν στη μείωση του κινδύνου εμφάνισης τρωτών σημείων παρόμοια με τα CVE-2024-50379 και CVE-2024-56337 στο μέλλον.

Παράλληλα, το Zero Day Initiative (ZDI) αποκάλυψε πρόσφατα μια άλλη κρίσιμη ευπάθεια, CVE-2024-12828που επηρεάζει το Webmin, με βαθμολογία CVSS 9,9. Αυτό το ελάττωμα επιτρέπει στους εξουσιοδοτημένους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα λόγω ακατάλληλης επικύρωσης συμβολοσειρών που παρέχονται από τον χρήστη κατά τον χειρισμό αιτημάτων CGI, με αποτέλεσμα να διακυβεύεται η ακεραιότητα του συστήματος.

Η ασφάλεια παραμένει πρωταρχικό μέλημα στις πλατφόρμες λογισμικού.

Πίστωση επιλεγμένης εικόνας: Κερέμ Γκιουλέν/Μέσα ταξίδι