De Apache Software Foundation (ASF) heeft een beveiligingsupdate uitgebracht om een belangrijke kwetsbaarheid in de Tomcat-serversoftware op te lossen die onder bepaalde omstandigheden zou kunnen leiden tot uitvoering van externe code (RCE).
De kwetsbaarheid, bijgehouden als CVE-2024-56337, is beschreven als een onvolledige oplossing voor CVE-2024-50379 (CVSS-score: 9,8), een andere kritieke beveiligingsfout in hetzelfde product die eerder op 17 december 2024 werd verholpen.
“Gebruikers die Tomcat uitvoeren op een hoofdletterongevoelig bestandssysteem met de standaard servlet write ingeschakeld (alleen-lezen initialisatieparameter ingesteld op de niet-standaardwaarde false) hebben mogelijk aanvullende configuratie nodig om CVE-2024-50379 volledig te beperken, afhankelijk van welke versie van Java ze gebruiken gebruiken met Tomcat”, zeiden de projectbeheerders vorige week in een advies.
Beide fouten zijn Time-of-check Time-of-use (TOCTOU) race condition-kwetsbaarheden die kunnen resulteren in het uitvoeren van code op hoofdletterongevoelige bestandssystemen wanneer de standaardservlet is ingeschakeld voor schrijven.
“Het gelijktijdig lezen en uploaden onder belasting van hetzelfde bestand kan de hoofdlettergevoeligheidscontroles van Tomcat omzeilen en ervoor zorgen dat een geüpload bestand wordt behandeld als een JSP, wat leidt tot uitvoering van externe code”, merkte Apache op in een waarschuwing voor CVE-2024-50379.
CVE-2024-56337 heeft invloed op de onderstaande versies van Apache Tomcat –
- Apache Tomcat 11.0.0-M1 tot 11.0.1 (opgelost in 11.0.2 of hoger)
- Apache Tomcat 10.1.0-M1 tot 10.1.33 (opgelost in 10.1.34 of hoger)
- Apache Tomcat 9.0.0.M1 tot 9.0.97 (opgelost in 9.0.98 of hoger)
Bovendien moeten gebruikers de volgende configuratiewijzigingen doorvoeren, afhankelijk van de versie van Java die wordt uitgevoerd:
- Java 8 of Java 11 – Stel de systeemeigenschap sun.io.useCanonCaches expliciet in op false (standaard ingesteld op true)
- Java 17 – Stel de systeemeigenschap sun.io.useCanonCaches in op false, indien al ingesteld (deze is standaard ingesteld op false)
- Java 21 en hoger – Er is geen actie vereist, omdat de systeemeigenschap is verwijderd
De ASF heeft de veiligheidsonderzoekers Nacl, WHOAMI, Yemoli en Ruozhi gecrediteerd voor het identificeren en rapporteren van beide tekortkomingen. Het bedrijf erkende ook het KnownSec 404-team voor het onafhankelijk rapporteren van CVE-2024-56337 met een proof-of-concept (PoC)-code.
De onthulling komt op het moment dat het Zero Day Initiative (ZDI) details heeft gedeeld van een kritieke bug in Webmin (CVE-2024-12828, CVSS-score: 9,9) waarmee geverifieerde externe aanvallers willekeurige code kunnen uitvoeren.
“De specifieke fout bestaat in de afhandeling van CGI-verzoeken”, aldus de ZDI. “Het probleem is het gevolg van het ontbreken van een goede validatie van een door de gebruiker aangeleverde string voordat deze wordt gebruikt om een systeemaanroep uit te voeren. Een aanvaller kan dit beveiligingslek misbruiken om code uit te voeren in de context van root.”