Apache Yazılım Vakfı (ASF), Tomcat sunucu yazılımında belirli koşullar altında uzaktan kod yürütülmesine (RCE) neden olabilecek önemli bir güvenlik açığını gidermek için bir güvenlik güncellemesi yayınladı.
Şu şekilde izlenen güvenlik açığı: CVE-2024-56337için eksik bir hafifletme olarak tanımlandı. CVE-2024-50379 (CVSS puanı: 9,8), daha önce 17 Aralık 2024’te giderilen aynı üründeki bir başka kritik güvenlik açığı.
“Tomcat’i, varsayılan sunucu uygulaması yazma özelliği etkinleştirilmiş (salt okunur başlatma parametresi varsayılan olmayan false değerine ayarlı) büyük/küçük harfe duyarlı olmayan bir dosya sisteminde çalıştıran kullanıcılar, hangi Java sürümüne bağlı olduklarına bağlı olarak CVE-2024-50379’u tamamen hafifletmek için ek yapılandırmaya ihtiyaç duyabilir Proje sahipleri geçen hafta bir danışma belgesinde “Tomcat ile birlikte kullanıyorum” dedi.
Her iki kusur da Kontrol Zamanı Kullanım Zamanı (TOKTOU) varsayılan sunucu uygulaması yazma için etkinleştirildiğinde büyük/küçük harfe duyarlı olmayan dosya sistemlerinde kod yürütülmesine neden olabilecek yarış durumu güvenlik açıkları.
Apache, CVE-2024-50379 uyarısında “Aynı dosyanın yükü altında eşzamanlı okuma ve yükleme, Tomcat’in büyük/küçük harf duyarlılığı kontrollerini atlayabilir ve yüklenen dosyanın JSP olarak değerlendirilmesine ve dolayısıyla uzaktan kod yürütülmesine neden olabilir” dedi.
CVE-2024-56337, Apache Tomcat’in aşağıdaki sürümlerini etkiliyor:
- Apache Tomcat 11.0.0-M1 – 11.0.1 (11.0.2 veya sonraki sürümlerde düzeltildi)
- Apache Tomcat 10.1.0-M1 – 10.1.33 (10.1.34 veya sonraki sürümlerde düzeltildi)
- Apache Tomcat 9.0.0.M1 – 9.0.97 (9.0.98 veya sonrasında düzeltildi)
Ek olarak, kullanıcıların çalıştırılmakta olan Java sürümüne bağlı olarak aşağıdaki yapılandırma değişikliklerini yapması gerekir:
- Java 8 veya Java 11 – Sun.io.useCanonCaches sistem özelliğini açıkça false olarak ayarlayın (varsayılan olarak true’dur)
- Java 17 – Sun.io.useCanonCaches sistem özelliğini false olarak ayarlayın (eğer önceden ayarlanmışsa) (varsayılan olarak false’tur)
- Java 21 ve üzeri – Sistem özelliği kaldırıldığı için herhangi bir işlem yapılmasına gerek yoktur
ASF, her iki eksikliği de tespit edip bildirdikleri için güvenlik araştırmacıları Nacl, WHOAMI, Yemoli ve Ruozhi’ye itibar etti. Ayrıca KnownSec 404 Ekibinin CVE-2024-56337’yi kavram kanıtlama (PoC) koduyla bağımsız olarak raporladığı için de teşekkür edildi.
Açıklama, Zero Day Initiative’in (ZDI), kimliği doğrulanmış uzaktaki saldırganların rastgele kod yürütmesine izin veren Webmin’deki kritik bir hatanın (CVE-2024-12828, CVSS puanı: 9,9) ayrıntılarını paylaşmasıyla geldi.
ZDI, “CGI isteklerinin işlenmesinde belirli bir kusur var” dedi söz konusu. “Sorun, kullanıcı tarafından sağlanan bir dizenin, bir sistem çağrısını yürütmek için kullanılmadan önce uygun şekilde doğrulanmamasından kaynaklanıyor. Bir saldırgan, kök bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
