A Apache Software Foundation (ASF) lançou uma atualização de segurança para seu software de servidor Tomcat, abordando uma vulnerabilidade crítica identificada como CVE-2024-56337. Esta falha poderia permitir a execução remota de código (RCE) sob condições específicas. Afeta versões do Apache Tomcat de 11.0.0-M1 a 11.0.1, 10.1.0-M1 a 10.1.33 e 9.0.0.M1 a 9.0.97. Os usuários são incentivados a atualizar para as versões 11.0.2, 10.1.34 e 9.0.98 para mitigar os riscos.
Apache Software Foundation aborda falha crítica do Tomcat
Desenvolvedores do ASF descritos CVE-2024-56337 como uma mitigação incompleta para CVE-2024-50379outra falha crítica corrigida em dezembro de 2024 com uma pontuação CVSS de 9,8. Ambas as vulnerabilidades resultam de problemas de condição de corrida Time-of-check Time-of-use (TOCTOU) que podem levar à execução não autorizada de código em sistemas de arquivos que não diferenciam maiúsculas de minúsculas quando o servlet padrão está habilitado para acesso de gravação. Isso ocorre quando os arquivos carregados ignoram as verificações de distinção entre maiúsculas e minúsculas do Tomcat devido a ações simultâneas de leitura e upload.
Para mitigar totalmente essas vulnerabilidades, os administradores devem implementar alterações de configuração específicas dependendo da versão do Java. Para Java 8 ou Java 11, é necessário definir a propriedade do sistema sun.io.useCanonCaches como false, cujo padrão é true. Os usuários do Java 17 devem verificar se esta propriedade, se definida, está configurada como falsa; o padrão é falso. Nenhuma ação é necessária para Java 21 e posterior, pois a propriedade do sistema foi removida.
A ASF deu crédito aos pesquisadores de segurança Nacl, WHOAMI, Yemoli e Ruozhi por relatarem essas vulnerabilidades. Eles também agradeceram à equipe KnownSec 404 por seu relatório independente sobre CVE-2024-56337, que incluiu código de prova de conceito (PoC).
Fortinet pede ação imediata: falha crítica de RCE expõe sistemas
Necessidade de ação urgente em relação à segurança do Tomcat
A divulgação do CVE-2024-56337 atua como um lembrete crítico para os usuários do Tomcat. Embora o patch inicial de Dezembro visasse proteger o sistema, análises subsequentes revelaram que eram necessárias medidas adicionais para garantir uma protecção completa. Como resultado, a decisão de emitir um novo ID CVE enfatiza a necessidade dos administradores de sistema tomarem medidas além da simples aplicação de patches.
As vulnerabilidades afetam principalmente empresas e provedores de serviços que usam o Tomcat como backend para aplicativos Java. Dado o uso generalizado do Tomcat, o impacto destas falhas pode ser significativo. O comunicado incentiva os usuários a avaliarem suas configurações cuidadosamente, especialmente aquelas que dependem de sistemas de arquivos que não diferenciam maiúsculas de minúsculas e com o servlet padrão habilitado.
Em resposta aos problemas contínuos de segurança, o ASF está planejando melhorias que verificarão automaticamente a configuração da propriedade sun.io.useCanonCaches antes de permitir o acesso de gravação para o servlet padrão em versões futuras do Tomcat. As atualizações esperadas estão definidas para as versões 11.0.3, 10.1.35 e 9.0.99. Estas melhorias visam reduzir o risco de vulnerabilidades semelhantes a CVE-2024-50379 e CVE-2024-56337 no futuro.
Paralelamente, a Zero Day Initiative (ZDI) divulgou recentemente outra vulnerabilidade crítica, CVE-2024-12828afetando o Webmin, com uma pontuação CVSS de 9,9. Essa falha permite que invasores remotos autenticados executem código arbitrário devido à validação inadequada de strings fornecidas pelo usuário durante o tratamento de solicitações CGI, comprometendo potencialmente a integridade do sistema.
A segurança continua sendo uma preocupação primordial em todas as plataformas de software.
Crédito da imagem em destaque: Kerem Gülen/meio da jornada