La Apache Software Foundation (ASF) ha lanzado una actualización de seguridad para abordar una vulnerabilidad importante en su software de servidor Tomcat que podría resultar en la ejecución remota de código (RCE) bajo ciertas condiciones.
La vulnerabilidad, rastreada como CVE-2024-56337ha sido descrito como una mitigación incompleta para CVE-2024-50379 (Puntuación CVSS: 9,8), otra falla de seguridad crítica en el mismo producto que se solucionó anteriormente el 17 de diciembre de 2024.
“Los usuarios que ejecutan Tomcat en un sistema de archivos que no distingue entre mayúsculas y minúsculas con la escritura de servlet predeterminada habilitada (parámetro de inicialización de solo lectura establecido en el valor no predeterminado de falso) pueden necesitar una configuración adicional para mitigar completamente CVE-2024-50379 dependiendo de la versión de Java que tengan. usando Tomcat”, dijeron los mantenedores del proyecto en un aviso la semana pasada.
Ambas fallas son Hora de verificación Hora de uso (TOCTOU) vulnerabilidades de condición de carrera que podrían resultar en la ejecución de código en sistemas de archivos que no distinguen entre mayúsculas y minúsculas cuando el servlet predeterminado está habilitado para escritura.
“La lectura y carga simultáneas bajo carga del mismo archivo pueden eludir las comprobaciones de distinción entre mayúsculas y minúsculas de Tomcat y hacer que un archivo cargado sea tratado como un JSP, lo que lleva a la ejecución remota de código”, señaló Apache en una alerta para CVE-2024-50379.
CVE-2024-56337 afecta las siguientes versiones de Apache Tomcat:
- Apache Tomcat 11.0.0-M1 a 11.0.1 (corregido en 11.0.2 o posterior)
- Apache Tomcat 10.1.0-M1 a 10.1.33 (corregido en 10.1.34 o posterior)
- Apache Tomcat 9.0.0.M1 a 9.0.97 (corregido en 9.0.98 o posterior)
Ademas, los usuarios deben realizar los siguientes cambios de configuracion segun la version de Java que se este ejecutando:
- Java 8 o Java 11: establezca explícitamente la propiedad del sistema sun.io.useCanonCaches en falso (el valor predeterminado es verdadero)
- Java 17: establezca la propiedad del sistema sun.io.useCanonCaches en falso, si ya está configurada (el valor predeterminado es falso)
- Java 21 y versiones posteriores: no se requiere ninguna acción, ya que la propiedad del sistema se ha eliminado
La ASF dio crédito a los investigadores de seguridad Nacl, WHOAMI, Yemoli y Ruozhi por identificar e informar ambas deficiencias. También reconoció al equipo KnownSec 404 por informar de forma independiente CVE-2024-56337 con un código de prueba de concepto (PoC).
La divulgación se produce cuando la Zero Day Initiative (ZDI) compartió detalles de un error crítico en Webmin (CVE-2024-12828, puntuación CVSS: 9,9) que permite a atacantes remotos autenticados ejecutar código arbitrario.
“El fallo específico existe en la gestión de solicitudes CGI”, afirma el ZDI dicho. “El problema se debe a la falta de validación adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de la raíz”.
About the Author
