La Apache Software Foundation (ASF) ha lanzado una actualización de seguridad para su software de servidor Tomcat, que aborda una vulnerabilidad crítica identificada como CVE-2024-56337. Esta falla podría permitir la ejecución remota de código (RCE) en condiciones específicas. Afecta a las versiones de Apache Tomcat de 11.0.0-M1 a 11.0.1, 10.1.0-M1 a 10.1.33 y 9.0.0.M1 a 9.0.97. Se insta a los usuarios a actualizar a las versiones 11.0.2, 10.1.34 y 9.0.98 para mitigar los riesgos.
Apache Software Foundation soluciona un defecto crítico de Tomcat
Los desarrolladores de ASF describen CVE-2024-56337 como una mitigación incompleta para CVE-2024-50379otra falla crítica solucionada en diciembre de 2024 con una puntuación CVSS de 9,8. Ambas vulnerabilidades se derivan de problemas de condición de carrera de tiempo de verificación y tiempo de uso (TOCTOU) que pueden provocar la ejecución de código no autorizado en sistemas de archivos que no distinguen entre mayúsculas y minúsculas cuando el servlet predeterminado está habilitado para acceso de escritura. Esto ocurre cuando los archivos cargados pasan por alto las comprobaciones de distinción entre mayúsculas y minúsculas de Tomcat debido a acciones simultáneas de lectura y carga.
Para mitigar completamente estas vulnerabilidades, los administradores deben implementar cambios de configuración específicos según su versión de Java. Para Java 8 o Java 11, es necesario establecer la propiedad del sistema sun.io.useCanonCaches en falso, cuyo valor predeterminado es verdadero. Los usuarios de Java 17 deben verificar que esta propiedad, si está configurada, esté configurada como falsa; por defecto es falso. No es necesario realizar ninguna acción para Java 21 y versiones posteriores, ya que se eliminó la propiedad del sistema.
La ASF dio crédito a los investigadores de seguridad Nacl, WHOAMI, Yemoli y Ruozhi por informar sobre estas vulnerabilidades. También agradecieron al equipo KnownSec 404 por su informe independiente sobre CVE-2024-56337, que incluía un código de prueba de concepto (PoC).
Fortinet insta a tomar medidas inmediatas: una falla crítica de RCE expone los sistemas
Necesidad de medidas urgentes sobre la seguridad de Tomcat
La divulgación de CVE-2024-56337 actúa como un recordatorio fundamental para los usuarios de Tomcat. Aunque el parche inicial de diciembre tenía como objetivo proteger el sistema, análisis posteriores revelaron que eran necesarias medidas adicionales para garantizar una protección completa. Como resultado, la decisión de emitir un nuevo CVE ID enfatiza la necesidad de que los administradores del sistema tomen medidas más allá de simplemente aplicar parches.
Las vulnerabilidades afectan principalmente a empresas y proveedores de servicios que utilizan Tomcat como backend para aplicaciones Java. Dado el uso generalizado de Tomcat, el impacto de estos defectos podría ser significativo. El aviso insta a los usuarios a evaluar cuidadosamente sus configuraciones, especialmente aquellas que dependen de sistemas de archivos que no distinguen entre mayúsculas y minúsculas y con el servlet predeterminado habilitado.
En respuesta a los problemas de seguridad actuales, la ASF está planeando mejoras que verificarán automáticamente la configuración de la propiedad sun.io.useCanonCaches antes de permitir el acceso de escritura para el servlet predeterminado en futuras versiones de Tomcat. Las actualizaciones esperadas están configuradas para las versiones 11.0.3, 10.1.35 y 9.0.99. Estas mejoras tienen como objetivo reducir el riesgo de vulnerabilidades similares a CVE-2024-50379 y CVE-2024-56337 en el futuro.
Paralelamente, la Zero Day Initiative (ZDI) ha revelado recientemente otra vulnerabilidad crítica, CVE-2024-12828que afecta a Webmin, con una puntuación CVSS de 9,9. Esta falla permite a atacantes remotos autenticados ejecutar código arbitrario debido a una validación inadecuada de cadenas proporcionadas por el usuario durante el manejo de solicitudes CGI, comprometiendo potencialmente la integridad del sistema.
La seguridad sigue siendo una preocupación primordial en todas las plataformas de software.
Crédito de la imagen destacada: Kerem Gülen/A mitad del viaje