Apache corrige omisión de ejecución remota de código en servidor web Tomcat

Iniciado por AXCESS, Diciembre 25, 2024, 02:29:31 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 25, 2024, 02:29:31 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Apache ha publicado una actualización de seguridad para solucionar una vulnerabilidad importante en el servidor web Tomcat que podría provocar que un atacante consiga la ejecución remota de código.

Apache Tomcat es un servidor web de código abierto y un contenedor de servlets ampliamente utilizado para implementar y ejecutar aplicaciones web basadas en Java. Proporciona un entorno de ejecución para Java Servlets, JavaServer Pages (JSP) y tecnologías Java WebSocket.

El producto es popular entre las grandes empresas que ejecutan aplicaciones web personalizadas y los proveedores de SaaS que dependen de Java para los servicios de backend. Los servicios de alojamiento y en la nube integran Tomcat para el alojamiento de aplicaciones, y los desarrolladores de software lo utilizan para crear, probar e implementar aplicaciones web.

La vulnerabilidad corregida se conoce como CVE-2024-56337 y representa una mitigación completa para CVE-2024-50379, una ejecución remota de código crítica (RCE), para la que el proveedor lanzó un parche el 17 de diciembre.

Después de lanzar la actualización que corrige CVE-2024-50379, el equipo de Apache se enteró de que la mitigación estaba incompleta para los clientes que ejecutaban máquinas virtuales con versiones anteriores de Java.

Ambos identificadores CVE hacen referencia a la misma vulnerabilidad, pero con CVE-2024-56337 Apache proporciona detalles de mitigación adicionales que abordan por completo la vulnerabilidad inicial, destacando que los administradores deben realizar algunos cambios manualmente.

Por lo tanto, la recomendación inicial de actualizar a las últimas versiones de Tomcat (actualmente 11.0.2, 10.1.34 y 9.0.98) no es suficiente para abordar el riesgo y también se requieren los siguientes cambios:

si se ejecuta en Java 8 o 11, se recomienda configurar la propiedad del sistema 'sun.io.useCanonCaches' en 'false' (valor predeterminado: true)
si se ejecuta en Java 17 y 'sun.io.useCanonCaches' está configurado, debe configurarse como falso (valor predeterminado: falso)
para Java 21 y posteriores, no se necesita ninguna configuración. La propiedad y la caché problemática se han eliminado

El problema de seguridad es una vulnerabilidad de condición de carrera de tiempo de uso y tiempo de verificación (TOCTOU) que afecta a los sistemas con la escritura de servlet predeterminada habilitada (parámetro de inicialización 'readonly' establecido en falso) y que se ejecutan en sistemas de archivos que no distinguen entre mayúsculas y minúsculas.

El problema afecta a Apache Tomcat 11.0.0-M1 a 11.0.1, 10.1.0-M1 a 10.1.33 y 9.0.0.M1 a 9.0.97.

El equipo de Apache compartió planes para mejoras de seguridad en las próximas versiones de Tomcat, 11.0.3, 10.1.35 y 9.0.99. Específicamente, Tomcat verificará que "sun.io.useCanonCaches" esté configurado correctamente antes de habilitar el acceso de escritura para el servlet predeterminado en sistemas de archivos que no distingan entre mayúsculas y minúsculas, y establecerá "sun.io.useCanonCaches" como falso cuando sea posible.

Estos cambios tienen como objetivo aplicar configuraciones más seguras automáticamente y reducir el riesgo de explotación de CVE-2024-50379 y CVE-2024-56337.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario