Конфигурация системы играет решающую роль в безопасности.
Фонд Apache Software Foundation (ASF) выпустил обновление безопасности для устранения важной уязвимости в серверном ПО Tomcat, которая могла позволить выполнение произвольного кода (RCE) при определённых условиях. Уязвимость, получившая идентификатор CVE-2024-56337, является частично исправленной версией проблемы CVE-2024-50379 (оценка CVSS: 9.8), которая была закрыта 17 декабря 2024 года.
Согласно официальному уведомлению, пользователи, работающие с Tomcat на файловых системах с нечувствительностью к регистру и включённым параметром записи для сервлета по умолчанию (значение readonly установлено в false), должны внести дополнительные изменения в конфигурацию для полного устранения уязвимости, в зависимости от версии Java.
Обе уязвимости связаны с состоянием гонки типа (Race Condition) Time-of-check Time-of-use (TOCTOU). Они позволяют выполнить код на файловых системах, нечувствительных к регистру, когда активирован сервлет по умолчанию с функцией записи.
Проблема проявляется при одновременном чтении и загрузке одного файла под нагрузкой, что может обходить проверки чувствительности к регистру и приводить к обработке загруженного файла как JSP, что открывает возможность удалённого выполнения кода.
Уязвимость CVE-2024-56337 затрагивает следующие версии Apache Tomcat:
Для устранения проблемы также необходимо внести изменения в настройки в зависимости от версии Java:
ASF поблагодарила исследователей Nacl, WHOAMI, Yemoli и Ruozhi за выявление и сообщение об уязвимостях, а также KnownSec 404 Team за независимое обнаружение CVE-2024-56337 и предоставление PoC-эксплойта.
И мы тоже не спим, чтобы держать вас в курсе всех угроз