Apache 软件基金会(ASF)发布了一项安全更新,以解决其 Tomcat 服务器软件中的一个重要漏洞,该漏洞在特定条件下可能导致远程代码执行(RCE)。
被追踪为 CVE-2024-56337 的漏洞,被描述为对 CVE-2024-50379(CVSS 评分:9.8)的不完整修复,这是同一产品中先前在 2024 年 12 月 17 日解决的另一个关键安全缺陷。
项目维护者在上周的咨询中表示:“在大小写不敏感的文件系统上运行 Tomcat,并且默认 servlet 写入功能启用(readonly 初始化参数设置为非默认值 false)的用户,可能需要根据他们与 Tomcat 一起使用的 Java 版本进行额外配置,以完全缓解 CVE-2024-50379。”
这两个漏洞都是检查时间与使用时间(TOCTOU)竞态条件漏洞,当默认 servlet 被设置为允许写入时,可能会导致在大小写不敏感的文件系统上执行代码。
Apache 在 CVE-2024-50379 的警报中指出:“在负载下对同一文件进行并发读取和上传可以绕过 Tomcat 的大小写敏感性检查,导致上传的文件被视为 JSP,从而导致远程代码执行。”
CVE-2024-56337 影响以下版本的 Apache Tomcat:
– Apache Tomcat 11.0.0-M1 至 11.0.1(在 11.0.2 或更高版本中修复)
– Apache Tomcat 10.1.0-M1 至 10.1.33(在 10.1.34 或更高版本中修复)
– Apache Tomcat 9.0.0.M1 至 9.0.97(在 9.0.98 或更高版本中修复)
此外,根据运行的 Java 版本,用户需要进行以下配置更改:
– Java 8 或 Java 11 – 明确设置系统属性 sun.io.useCanonCaches 为 false(默认为 true)
– Java 17 – 如果已经设置,则将系统属性 sun.io.useCanonCaches 设置为 false(默认为 false)
– Java 21 及更高版本 – 不需要采取行动,因为系统属性已被移除
ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 识别并报告了这两个缺陷。它还感谢知道创宇404 团队独立报告了 CVE-2024-56337 并提供了概念验证(PoC)代码。
这一披露是在 Zero Day Initiative(ZDI)分享了 Webmin(CVE-2024-12828,CVSS 评分:9.9)的一个关键漏洞细节时发布的,该漏洞允许经过身份验证的远程攻击者执行任意代码。
ZDI 表示:“特定的漏洞存在于处理 CGI 请求的过程中。”“问题是由于在使用用户提供的字符串执行系统调用之前,没有进行适当的验证。攻击者可以利用这个漏洞,在 root 权限下执行代码。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
