Apache Software Foundation (ASF) objavila je sigurnosnu korekciju kako bi riješila važnu ranjivost u svom Tomcat serverskom softveru koja bi mogla rezultovalo daljinskim izvršavanjem koda (RCE) pod određenim uslovima.
Ranjivost, praćena kao CVE-2024-56337 , opisana je kao nepotpuno ublažavanje za CVE-2024-50379 (CVSS rezultat: 9,8), još jednu kritičnu sigurnosnu grešku u istom proizvodu koja je prethodno riješena 17. decembra 2024.
“Korisnici koji pokreću Tomcat na sistemu datoteka bez obzira na mala i mala slova sa omogućenim zadanim servletom za upisivanje (parametar inicijalizacije samo za čitanje postavljen na vrijednost koja nije zadana vrijednost false) možda će trebati dodatna konfiguracija da u potpunosti ublaže CVE-2024-50379 zavisno o tome koja verzija Jave je korištenje s Tomcatom”, rekli su održavatelji projekta u prošlosedmičnom savjetovanju.
Obje mane su ranjivost uvjeta utrke Time-of-check Time-of-use ( TOCTOU ) koja bi mogla reuzltovalo izvršavanjem koda na sistemima datoteka koji ne razlikuju velika i mala slova kada je zadani servlet omogućen za pisanje.
“Istovremeno čitanje i otpremanje pod opterećenjem iste datoteke može zaobići Tomcat-ove provjere osjetljivosti na velika i mala slova i uzrokovati da se prenesena datoteka tretira kao JSP što dovodi do udaljenog izvršavanja koda”, napomenuo je Apache u upozorenju za CVE-2024-50379.
CVE-2024-56337 utiče na donje verzije Apache Tomcat-a –
- Apache Tomcat 11.0.0-M1 do 11.0.1 (popravljeno u 11.0.2 ili novijim)
- Apache Tomcat 10.1.0-M1 do 10.1.33 (popravljeno u 10.1.34 ili novijim)
- Apache Tomcat 9.0.0.M1 do 9.0.97 (popravljeno u 9.0.98 ili novijim)
Osim toga, od korisnika se traži da izvrše sljedeće promjene konfiguracije u zavisnosti od verzije Jave koja se pokreće –
- Java 8 ili Java 11 – Eksplicitno postavite svojstvo sistema sun.io.useCanonCaches na false (podrazumevano je tačno)
- Java 17 – Postavite svojstvo sistema sun.io.useCanonCaches na false, ako je već postavljeno (podrazumevano je na false)
- Java 21 i novije verzije – Nije potrebna nikakva radnja, jer je sistemsko svojstvo uklonjeno
ASF je zaslužan istraživačima sigurnosti Nacl, WHOAMI, Yemoli i Ruozhi za identifikovanje i prijavljivanje oba nedostatka. Takođe je odao priznanje KnownSec 404 timu za nezavisno prijavljivanje CVE-2024-56337 sa kodom za dokaz koncepta (PoC).
Otkrivanje dolazi kada je Inicijativa Zero Day (ZDI) podijelila detalje kritične greške u Webmin-u (CVE-2024-12828, CVSS rezultat: 9,9) koja omogućava autentifikovanim udaljenim napadačima da izvršavaju proizvoljan kod.
“Specifičan nedostatak postoji u rukovanju CGI zahtjevima,” kaže ZDI . “Problem je rezultat nedostatka odgovarajuće validacije stringa koji je dostavio korisnik prije nego što se on koristi za izvršavanje sistemskog poziva. Napadač može iskoristiti ovu ranjivost za izvršavanje koda u kontekstu root-a.”
Izvor:The Hacker News