el más reciente

― Advertisement ―

Relacionada

spot_img
InicioTecnologíaLa vulnerabilidad CVE-2024-56337 de Apache Tomcat expone los servidores a ataques RCE

La vulnerabilidad CVE-2024-56337 de Apache Tomcat expone los servidores a ataques RCE

La Apache Software Foundation (ASF) ha resuelto una aggiornamento de seguridad para chocar una vulnerabilidad importante en su software de servidor Tomcat que podría resultar en la ejecución remota de código (RCE) bajo ciertas condiciones.

La vulnerabilidad, rastreada como CVE-2024-56337, se describió como una mitigación incompleta para CVE-2024-50379 (puntuación CVSS: 9,8), otra falta de seguridad crítica en el mismo producto que se solucionó anteriormente el 17 de diciembre de 2024.

«Los usuarios que ejecutan Tomcat en un sistema de archivos que no distingue entre mayúsculas y minúsculas con la escritura de servlet predeterminada habilitada (parámetro de inicialización de solo lección establecido en el valía no predeterminado de traidor) pueden precisar una configuración adicional para mitigar completamente CVE-2024-50379 dependiendo de la interpretación de Java que tengan. usando Tomcat», dijeron los mantenedores del esquema en un aviso la semana pasada.

Ambas fallas son vulnerabilidades de condición de carrera de tiempo de demostración y tiempo de uso (TOCTOU) que podrían resultar en la ejecución de código en sistemas de archivos que no distinguen entre mayúsculas y minúsculas cuando el servlet predeterminado está adaptado para escritura.

«La lección y carga simultáneas bajo carga del mismo archivo pueden eludir las comprobaciones de distinción entre mayúsculas y minúsculas de Tomcat y hacer que un archivo cargado sea tratado como un JSP, lo que lleva a la ejecución remota de código», señaló Apache en una alerta para CVE-2024-50379.

CVE-2024-56337 afecta las siguientes versiones de Apache Tomcat:

  • Apache Tomcat 11.0.0-M1 a 11.0.1 (corregido en 11.0.2 o posterior)
  • Apache Tomcat 10.1.0-M1 a 10.1.33 (corregido en 10.1.34 o posterior)
  • Apache Tomcat 9.0.0.M1 a 9.0.97 (corregido en 9.0.98 o posterior)
Leer  El nuevo exploit "DoubleClickjacking" evita las protecciones contra el clickjacking en los principales sitios web

Ademas, los usuarios deben realizar los siguientes cambios de configuracion segun la version de Java que se este ejecutando:

  • Java 8 o Java 11: establezca explícitamente la propiedad del sistema sun.io.useCanonCaches en traidor (el valía predeterminado es real)
  • Java 17: establezca la propiedad del sistema sun.io.useCanonCaches en traidor, si ya está configurada (el valía predeterminado es traidor)
  • Java 21 y versiones posteriores: no se requiere ninguna argumento, ya que la propiedad del sistema se ha eliminado

La ASF dio crédito a los investigadores de seguridad Nacl, WHOAMI, Yemoli y Ruozhi por identificar e informar ambas deficiencias. Además reconoció al equipo KnownSec 404 por informar de forma independiente CVE-2024-56337 con un código de prueba de concepto (PoC).

La divulgación se produce cuando la Zero Day Initiative (ZDI) compartió detalles de un error crítico en Webmin (CVE-2024-12828, puntuación CVSS: 9,9) que permite a atacantes remotos autenticados ejecutar código subjetivo.

«El equivocación específico existe en la diligencia de solicitudes CGI», afirmó el ZDI. «El problema se debe a la desidia de potencia adecuada de una sujeción proporcionada por el agraciado ayer de usarla para ejecutar una emplazamiento al sistema. Un atacante puede utilizar esta vulnerabilidad para ejecutar código en el contexto de la raíz».

El más popular

spot_img