La Apache Software Foundation (ASF) ha lanzado una actualizaci\u00f3n de seguridad para abordar una vulnerabilidad importante en su software de servidor Tomcat que podr\u00eda resultar en la ejecuci\u00f3n remota de c\u00f3digo (RCE) bajo ciertas condiciones.<\/p>\n
La vulnerabilidad, rastreada como CVE-2024-56337<\/a>ha sido descrito como una mitigaci\u00f3n incompleta para CVE-2024-50379<\/a> (Puntuaci\u00f3n CVSS: 9,8), otra falla de seguridad cr\u00edtica en el mismo producto que se solucion\u00f3 anteriormente el 17 de diciembre de 2024.<\/p>\n “Los usuarios que ejecutan Tomcat en un sistema de archivos que no distingue entre may\u00fasculas y min\u00fasculas con la escritura de servlet predeterminada habilitada (par\u00e1metro de inicializaci\u00f3n de solo lectura establecido en el valor no predeterminado de falso) pueden necesitar una configuraci\u00f3n adicional para mitigar completamente CVE-2024-50379 dependiendo de la versi\u00f3n de Java que tengan. usando Tomcat”, dijeron los mantenedores del proyecto en un aviso la semana pasada.<\/p>\n Ambas fallas son Hora de verificaci\u00f3n Hora de uso (TOCTOU<\/a>) vulnerabilidades de condici\u00f3n de carrera que podr\u00edan resultar en la ejecuci\u00f3n de c\u00f3digo en sistemas de archivos que no distinguen entre may\u00fasculas y min\u00fasculas cuando el servlet predeterminado est\u00e1 habilitado para escritura.<\/p>\n “La lectura y carga simult\u00e1neas bajo carga del mismo archivo pueden eludir las comprobaciones de distinci\u00f3n entre may\u00fasculas y min\u00fasculas de Tomcat y hacer que un archivo cargado sea tratado como un JSP, lo que lleva a la ejecuci\u00f3n remota de c\u00f3digo”, se\u00f1al\u00f3 Apache en una alerta para CVE-2024-50379.<\/p>\n CVE-2024-56337 afecta las siguientes versiones de Apache Tomcat:<\/p>\n Ademas, los usuarios deben realizar los siguientes cambios de configuracion segun la version de Java que se este ejecutando:<\/p>\n La ASF dio cr\u00e9dito a los investigadores de seguridad Nacl, WHOAMI, Yemoli y Ruozhi por identificar e informar ambas deficiencias. Tambi\u00e9n reconoci\u00f3 al equipo KnownSec 404 por informar de forma independiente CVE-2024-56337 con un c\u00f3digo de prueba de concepto (PoC).<\/p>\n La divulgaci\u00f3n se produce cuando la Zero Day Initiative (ZDI) comparti\u00f3 detalles de un error cr\u00edtico en Webmin (CVE-2024-12828, puntuaci\u00f3n CVSS: 9,9) que permite a atacantes remotos autenticados ejecutar c\u00f3digo arbitrario.<\/p>\n “El fallo espec\u00edfico existe en la gesti\u00f3n de solicitudes CGI”, afirma el ZDI dicho<\/a>. “El problema se debe a la falta de validaci\u00f3n adecuada de una cadena proporcionada por el usuario antes de usarla para ejecutar una llamada al sistema. Un atacante puede aprovechar esta vulnerabilidad para ejecutar c\u00f3digo en el contexto de la ra\u00edz”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-vulnerabilidad-CVE-2024-56337-de-Apache-Tomcat-expone-los-servidores-a.png\")
<\/a><\/center><\/div>\n\n
\n
<\/a><\/center><\/div>\n