Apache 软件基金会 (ASF) 发布了 Tomcat 服务器软件的安全更新,解决了一个名为 CVE-2024-56337 的严重漏洞。此缺陷可能会在特定条件下启用远程代码执行 (RCE)。它影响 Apache Tomcat 的版本从 11.0.0-M1 到 11.0.1、10.1.0-M1 到 10.1.33 以及 9.0.0.M1 到 9.0.97。建议用户升级到11.0.2、10.1.34和9.0.98版本以降低风险。
Apache 软件基金会解决了 Tomcat 的关键缺陷
ASF 的开发人员描述了 CVE-2024-56337 作为不完全缓解措施 CVE-2024-50379,另一个严重缺陷已于 2024 年 12 月得到解决,CVSS 得分为 9.8。这两个漏洞均源自检查时间和使用时间 (TOCTOU) 竞争条件问题,当默认 servlet 启用写访问时,这些问题可能会导致在不区分大小写的文件系统上执行未经授权的代码。当上传的文件由于并发读取和上传操作而绕过 Tomcat 的区分大小写检查时,就会发生这种情况。
为了完全缓解这些漏洞,管理员必须根据其 Java 版本实施特定的配置更改。对于 Java 8 或 Java 11,需要将系统属性 sun.io.useCanonCaches 设置为 false,默认为 true。 Java 17 用户应验证此属性(如果设置)是否配置为 false;它默认为 false。对于 Java 21 及更高版本,无需执行任何操作,因为系统属性已被删除。
ASF 赞扬安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 报告了这些漏洞。他们还感谢 KnownSec 404 团队关于 CVE-2024-56337 的独立报告,其中包括概念验证 (PoC) 代码。
Fortinet 敦促立即采取行动:严重的 RCE 缺陷暴露了系统
需要对 Tomcat 安全采取紧急行动
CVE-2024-56337 的披露对 Tomcat 用户来说是一个重要的提醒。尽管 12 月份的初始补丁旨在保护系统安全,但随后的分析表明,需要采取额外措施来确保全面保护。因此,发布新 CVE ID 的决定强调系统管理员需要采取行动,而不仅仅是应用补丁。
这些漏洞主要影响使用 Tomcat 作为 Java 应用程序后端的企业和服务提供商。鉴于 Tomcat 的广泛使用,这些缺陷的影响可能会很大。该通报敦促用户仔细评估其配置,尤其是那些依赖于启用默认 servlet 的不区分大小写的文件系统的配置。
为了应对持续存在的安全问题,ASF 正在计划增强功能,在 Tomcat 的未来版本中允许对默认 servlet 进行写访问之前,将自动检查 sun.io.useCanonCaches 属性的配置。预计更新版本为 11.0.3、10.1.35 和 9.0.99。这些改进旨在降低未来出现类似 CVE-2024-50379 和 CVE-2024-56337 的漏洞的风险。
与此同时,零日计划 (ZDI) 最近披露了另一个严重漏洞, CVE-2024-12828,影响 Webmin,CVSS 得分为 9.9。由于在 CGI 请求处理期间对用户提供的字符串验证不正确,此缺陷允许经过身份验证的远程攻击者执行任意代码,从而可能损害系统完整性。
安全性仍然是软件平台最关心的问题。
特色图片来源: 凯雷姆·葛兰/中途
