Summarize this content to 600 words
Apache ha lanzado una actualización de seguridad que aborda una vulnerabilidad importante en el servidor web Tomcat que podría llevar a un atacante a lograr la ejecución remota de código.
Apache Tomcat es un servidor web de código abierto y un contenedor de servlets ampliamente utilizado para implementar y ejecutar aplicaciones web basadas en Java. Proporciona un entorno de ejecución para tecnologías Java Servlets, JavaServer Pages (JSP) y Java WebSocket.
El producto es popular entre las grandes empresas que ejecutan aplicaciones web personalizadas y proveedores de SaaS que dependen de Java para los servicios backend. Los servicios de alojamiento y nube integran Tomcat para el alojamiento de aplicaciones, y los desarrolladores de software lo utilizan para crear, probar e implementar aplicaciones web.
La vulnerabilidad corregida en la nueva versión se rastrea como CVE-2024-56337 y aborda una mitigación incompleta para CVE-2024-50379una ejecución remota de código (RCE) crítica, para la cual el proveedor lanzó un parche el 17 de diciembre.
Sin embargo, el equipo se dio cuenta de que aplicar la actualización para CVE-2024-50379 no sería suficiente para proteger los sistemas y decidió emitir CVE-2024-56337 para resaltar la necesidad de una acción manual.
Ambas fallas son esencialmente exactamente la misma vulnerabilidad, pero el uso de una nueva ID CVE se decidió con el fin de crear conciencia entre los administradores de sistemas afectados.
El problema de seguridad es una vulnerabilidad de condición de carrera de tiempo de verificación y tiempo de uso (TOCTOU) que afecta a los sistemas con la escritura de servlet predeterminada habilitada (parámetro de inicialización de ‘solo lectura’ establecido en falso) y que se ejecutan en sistemas de archivos que no distinguen entre mayúsculas y minúsculas.
El problema afecta a Apache Tomcat 11.0.0-M1 hasta 11.0.1, 10.1.0-M1 hasta 10.1.33 y 9.0.0.M1 hasta 9.0.97.
Usuarios debería actualizar a las últimas versiones de Tomcat: 11.0.2, 10.1.34 y 9.0.98.
Abordar el problema requiere pasos adicionales. Dependiendo de la versión de Java utilizada, los usuarios deben realizar las siguientes acciones, además de actualizar:
Para Java 8 u 11, se recomienda establecer la propiedad del sistema ‘sun.io.useCanonCaches’ en ‘falso’ (valor predeterminado: verdadero).
Para Java 17, asegúrese de que ‘sun.io.useCanonCaches’, si está configurado, esté configurado como falso (valor predeterminado: falso).
Para Java 21 y posteriores, no se necesita configuración. Se han eliminado la propiedad y el caché problemático.
El equipo de Apache compartió planes para mejoras de seguridad en las próximas versiones de Tomcat, 11.0.3, 10.1.35 y 9.0.99.
Específicamente, Tomcat verificará que ‘sun.io.useCanonCaches’ esté configurado correctamente antes de habilitar el acceso de escritura para el servlet predeterminado en sistemas de archivos que no distinguen entre mayúsculas y minúsculas, y establecerá de manera predeterminada ‘sun.io.useCanonCaches’ en falso siempre que sea posible.
Estos cambios tienen como objetivo aplicar configuraciones más seguras automáticamente y reducir el riesgo de explotación de CVE-2024-50379 y CVE-2024-56337.
Actualización 24/12: se agregó más información del equipo de Apache.