De Apache Software Foundation (ASF) heeft een beveiligingsupdate uitgebracht voor haar Tomcat-serversoftware, waarmee een kritieke kwetsbaarheid wordt aangepakt die is geïdentificeerd als CVE-2024-56337. Deze fout kan onder specifieke omstandigheden Remote Code Execution (RCE) mogelijk maken. Het beïnvloedt versies van Apache Tomcat van 11.0.0-M1 tot 11.0.1, 10.1.0-M1 tot 10.1.33 en 9.0.0.M1 tot 9.0.97. Gebruikers wordt dringend verzocht te upgraden naar versies 11.0.2, 10.1.34 en 9.0.98 om de risico’s te beperken.
Apache Software Foundation pakt kritieke Tomcat-fout aan
Ontwikkelaars bij ASF beschreven CVE-2024-56337 als een onvolledige verzachting voor CVE-2024-50379een andere kritieke fout die in december 2024 werd aangepakt met een CVSS-score van 9,8. Beide kwetsbaarheden komen voort uit Time-of-check Time-of-use (TOCTOU) race condition-problemen die kunnen leiden tot ongeautoriseerde uitvoering van code op hoofdletterongevoelige bestandssystemen wanneer de standaardservlet is ingeschakeld voor schrijftoegang. Dit gebeurt wanneer geüploade bestanden de hoofdlettergevoeligheidscontroles van Tomcat omzeilen vanwege gelijktijdige lees- en uploadacties.
Om deze kwetsbaarheden volledig te beperken, moeten beheerders specifieke configuratiewijzigingen doorvoeren, afhankelijk van hun Java-versie. Voor Java 8 of Java 11 is het vereist om de systeemeigenschap sun.io.useCanonCaches in te stellen op false, wat standaard op true staat. Java 17-gebruikers moeten verifiëren dat deze eigenschap, indien ingesteld, als false is geconfigureerd; standaard is deze ingesteld op false. Er is geen actie nodig voor Java 21 en hoger, omdat de systeemeigenschap is verwijderd.
De ASF heeft de veiligheidsonderzoekers Nacl, WHOAMI, Yemoli en Ruozhi gecrediteerd voor het melden van deze kwetsbaarheden. Ze erkenden ook het KnownSec 404-team voor zijn onafhankelijke rapport over CVE-2024-56337, dat proof-of-concept (PoC) -code bevatte.
Fortinet dringt aan op onmiddellijke actie: kritieke RCE-fout legt systemen bloot
Noodzaak van dringende actie op het gebied van Tomcat-beveiliging
De openbaarmaking van CVE-2024-56337 fungeert als een kritische herinnering voor Tomcat-gebruikers. Hoewel de eerste patch in december bedoeld was om het systeem te beveiligen, bleek uit daaropvolgende analyses dat aanvullende maatregelen nodig waren om volledige bescherming te garanderen. Als gevolg hiervan benadrukt de beslissing om een nieuwe CVE ID uit te geven de noodzaak voor systeembeheerders om actie te ondernemen die verder gaat dan alleen het toepassen van patches.
De kwetsbaarheden treffen vooral bedrijven en dienstverleners die Tomcat gebruiken als backend voor Java-applicaties. Gezien het wijdverbreide gebruik van Tomcat kan de impact van deze tekortkomingen aanzienlijk zijn. Het advies dringt er bij gebruikers op aan om hun configuraties zorgvuldig te evalueren, vooral als ze afhankelijk zijn van hoofdletterongevoelige bestandssystemen met de standaardservlet ingeschakeld.
Als reactie op aanhoudende beveiligingsproblemen plant ASF verbeteringen die automatisch de configuratie van de eigenschap sun.io.useCanonCaches controleren voordat schrijftoegang wordt toegestaan voor de standaardservlet in toekomstige releases van Tomcat. Verwachte updates zijn ingesteld voor versies 11.0.3, 10.1.35 en 9.0.99. Deze verbeteringen zijn bedoeld om het risico op kwetsbaarheden vergelijkbaar met CVE-2024-50379 en CVE-2024-56337 in de toekomst te verminderen.
Tegelijkertijd heeft het Zero Day Initiative (ZDI) onlangs een andere kritieke kwetsbaarheid onthuld: CVE-2024-12828van invloed op Webmin, met een CVSS-score van 9,9. Door deze fout kunnen geverifieerde aanvallers op afstand willekeurige code uitvoeren als gevolg van onjuiste validatie van door de gebruiker aangeleverde strings tijdens de afhandeling van CGI-verzoeken, waardoor de systeemintegriteit mogelijk in gevaar komt.
Beveiliging blijft een van de grootste zorgen op softwareplatforms.
Uitgelichte afbeeldingscredits: Kerem Gülen/Midjourney
