Summarize this content to 600 words
Descripción:
La Apache Software Foundation lanzó actualizaciones de seguridad para abordar las vulnerabilidades en Apache Tomcat. Un atacante remoto podría aprovechar las vulnerabilidades enviando una solicitud especialmente diseñada a los sistemas afectados.
Apache Software Foundation anunció que la mitigación de la vulnerabilidad de ejecución remota de código (CVE-2024-50379) dentro de los últimos parches Apache Tomcat 9.0.98, 10.1.34 y 11.0.2 se ha identificado como incompleta. Si bien aún hay parches adicionales disponibles para mitigar completamente el problema (rastreado como CVE-2024-56337), Apache Software Foundation ha proporcionado medidas temporales para mitigar el riesgo de explotación.
Los administradores de sistemas afectados deben seguir las recomendaciones que se enumeran a continuación y tomar medidas inmediatas para mitigar el riesgo. Se recomienda evaluar adecuadamente el impacto antes de adoptar las medidas temporales y consultar a los proveedores de productos para obtener ayuda.
GovCERT.HK está monitoreando de cerca la situación y publicará una actualización sobre el problema en cuestión una vez que los parches adicionales estén disponibles.
Sistemas afectados:
Apache Tomcat 11.0.0-M1 a 11.0.1
Apache Tomcat 10.1.0-M1 a 10.1.33
Apache Tomcat 9.0.0-M1 a 9.0.97Para obtener información detallada de los sistemas afectados, consulte el aviso de seguridad correspondiente en el sitio web del proveedor de software.
Impacto:
La explotación exitosa de las vulnerabilidades podría conducir a la ejecución remota de código o a la denegación de servicio en un sistema afectado.
Recomendación:
La Apache Software Foundation ha lanzado nuevas versiones del software para solucionar el problema y se pueden descargar en las siguientes URL:https://tomcat.apache.org/download-11.cgi#11.0.2
https://tomcat.apache.org/download-10.cgi#10.1.34
https://tomcat.apache.org/download-90.cgi#9.0.98
Además de actualizar a las versiones 9.0.98, 10.1.34 u 11.0.2, los administradores de los sistemas afectados deben aplicar una configuración adicional basada en la versión de Java en uso:Java 8 o Java 11La propiedad del sistema sun.io.useCanonCaches debe establecerse explícitamente en falso (el valor predeterminado es verdadero)
Java 17Si la propiedad del sistema sun.io.useCanonCaches está configurada, debe configurarse en falso (el valor predeterminado es falso)
Java 21 en adelante No se requiere ninguna configuración adicional (la propiedad del sistema y el caché problemático se han eliminado)
Más información:
https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.98
https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.34
https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.2
https://www.hkcert.org/security-bulletin/apache-tomcat-multiple-vulnerabilities_20241218
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-50379
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-54677
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56337