Apache Tomcat — это веб-сервер с открытым исходным кодом и контейнер сервлетов, широко используемый для развертывания и работы веб-приложений на Java. Он предоставляет среду выполнения для Java Servlets, JavaServer Pages (JSP) и Java WebSocket.
Этот продукт популярен среди крупных предприятий, использующих кастомные веб-приложения, SaaS-провайдеров, полагающихся на Java для серверной части, а также среди облачных и хостинговых сервисов, которые интегрируют Tomcat для размещения приложений и разработчиков ПО для создания, тестирования и развертывания веб-приложений.
Обновление исправляет уязвимость с идентификатором CVE-2024-56337. Она закрывает недостатки в предыдущем исправлении для CVE-2024-50379, критической уязвимости удаленного выполнения кода, патч для которой был опубликован 17 декабря.
Впоследствии разработчики обнаружили, что патча против CVE-2024-50379 недостаточно для полной защиты системы, и решили выпустить CVE-2024-56337, чтобы обратить внимание системных администраторов на необходимость дополнительных действий.
Обе уязвимости по сути идентичны, а использование нового идентификатора CVE обусловлено необходимостью повышения осведомленности.
Уязвимость представляет собой гонку состояния типа «время проверки — время использования» (time-of-check time-of-use, TOCTOU), которая затрагивает системы с включенной записью в сервлет по умолчанию и работающие на файловых системах, нечувствительных к регистру.
Уязвимость затрагивает Apache Tomcat версий:
- от 11.0.0-M1 до 11.0.1,
- от 10.1.0-M1 до 10.1.33,
- от 9.0.0.M1 до 9.0.97.
Пользователям рекомендуется обновиться до последних версий Tomcat: 11.0.2, 10.1.34 и 9.0.98.
Для устранения проблемы требуются дополнительные действия. В зависимости от используемой версии Java необходимо выполнить следующие шаги, помимо обновления:
- Для Java 8 или 11 рекомендуется установить системное свойство sun.io.useCanonCaches в false (по умолчанию: true).
- Для Java 17 убедитесь, что свойство sun.io.useCanonCaches задано и установлено в false (по умолчанию: false).
- Для Java 21 и более новых версий настройка не требуется: это свойство и соответствующий кэш были удалены.
Команда Apache анонсировала улучшения безопасности в следующих версиях Tomcat — 11.0.3, 10.1.35 и 9.0.99.
В частности, Tomcat будет проверять правильность настройки sun.io.useCanonCaches перед включением доступа на запись для сервлета по умолчанию в файловых системах, нечувствительных к регистру, и, где это возможно, устанавливать значение sun.io.useCanonCaches по умолчанию в false.
Эти изменения направлены на автоматическое обеспечение более безопасной конфигурации и снижение риска эксплуатации CVE-2024-50379 и CVE-2024-56337.
Угрозы безопасности
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов