More

    Apache Tomcat ranjivost CVE-2024-56337 izlaže servere RCE napadima

    Apache Software Foundation (ASF) objavila je sigurnosnu korekciju kako bi riješila važnu ranjivost u svom Tomcat serverskom softveru koja bi mogla rezultovalo daljinskim izvršavanjem koda (RCE) pod određenim uslovima.

    Ranjivost, praćena kao CVE-2024-56337 , opisana je kao nepotpuno ublažavanje za CVE-2024-50379 (CVSS rezultat: 9,8), još jednu kritičnu sigurnosnu grešku u istom proizvodu koja je prethodno riješena 17. decembra 2024.

    “Korisnici koji pokreću Tomcat na sistemu datoteka bez obzira na mala i mala slova sa omogućenim zadanim servletom za upisivanje (parametar inicijalizacije samo za čitanje postavljen na vrijednost koja nije zadana vrijednost false) možda će trebati dodatna konfiguracija da u potpunosti ublaže CVE-2024-50379 zavisno o tome koja verzija Jave je korištenje s Tomcatom”, rekli su održavatelji projekta u prošlosedmičnom savjetovanju.

    Obje mane su ranjivost uvjeta utrke Time-of-check Time-of-use ( TOCTOU ) koja bi mogla reuzltovalo izvršavanjem koda na sistemima datoteka koji ne razlikuju velika i mala slova kada je zadani servlet omogućen za pisanje.

    “Istovremeno čitanje i otpremanje pod opterećenjem iste datoteke može zaobići Tomcat-ove provjere osjetljivosti na velika i mala slova i uzrokovati da se prenesena datoteka tretira kao JSP što dovodi do udaljenog izvršavanja koda”, napomenuo je Apache u upozorenju za CVE-2024-50379.

    CVE-2024-56337 utiče na donje verzije Apache Tomcat-a –

    • Apache Tomcat 11.0.0-M1 do 11.0.1 (popravljeno u 11.0.2 ili novijim)
    • Apache Tomcat 10.1.0-M1 do 10.1.33 (popravljeno u 10.1.34 ili novijim)
    • Apache Tomcat 9.0.0.M1 do 9.0.97 (popravljeno u 9.0.98 ili novijim)

    Osim toga, od korisnika se traži da izvrše sljedeće promjene konfiguracije u zavisnosti od verzije Jave koja se pokreće –

    • Java 8 ili Java 11 – Eksplicitno postavite svojstvo sistema sun.io.useCanonCaches na false (podrazumevano je tačno)
    • Java 17 – Postavite svojstvo sistema sun.io.useCanonCaches na false, ako je već postavljeno (podrazumevano je na false)
    • Java 21 i novije verzije – Nije potrebna nikakva radnja, jer je sistemsko svojstvo uklonjeno

    ASF je zaslužan istraživačima sigurnosti Nacl, WHOAMI, Yemoli i Ruozhi za identifikovanje i prijavljivanje oba nedostatka. Takođe je odao priznanje KnownSec 404 timu za nezavisno prijavljivanje CVE-2024-56337 sa kodom za dokaz koncepta (PoC).

    Otkrivanje dolazi kada je Inicijativa Zero Day (ZDI) podijelila detalje kritične greške u Webmin-u (CVE-2024-12828, CVSS rezultat: 9,9) koja omogućava autentifikovanim udaljenim napadačima da izvršavaju proizvoljan kod.

    “Specifičan nedostatak postoji u rukovanju CGI zahtjevima,” kaže ZDI . “Problem je rezultat nedostatka odgovarajuće validacije stringa koji je dostavio korisnik prije nego što se on koristi za izvršavanje sistemskog poziva. Napadač može iskoristiti ovu ranjivost za izvršavanje koda u kontekstu root-a.”

    Izvor:The Hacker News

    Recent Articles

    spot_img

    Related Stories