[TLP:CLEAR] Apache Tomcat opravuje 1 zraniteľnosť

Apache opravuje zraniteľnosť v produkte Tomcat [1]. Zraniteľnosť vznikla kvôli nedostatočnej oprave zraniteľnosti CVE-2024-50379 [2]. Pre opravu je potrebné aktualizovať na verziu 11.0.2, 10.1.34 alebo 9.0.98 [1] a nasledovne upraviť konfiguráciu: ak používate Java 8 alebo 11 - nastaviť sun.io.useCanonCaches na false [3][4][5] ak používate Java 17 - ak používate sun.io.useCanonCaches, nastaviť na false [4][5] ak používate Java 21 - nie je potrebné zmena konfigurácie [4][5]

Apache Tomcat - TOCTOU RCE (CVE-2024-56337)

Útočníkovi je nahratím súboru a zneužitím TOCTOU chyby umožnené vykonávať kód. Zraniteľnosť je zneužiteľná iba na operačných systémoch nerozlišujúcich veľkosť písmen (case insensitive) a u defaultných servletov s povoleným zápisom (readonly = false) [1].

Zraniteľnosť sa nachádza v produkte Apache Tomcat vo verziách (>=11.0.0-M1 AND <11.0.2) OR (>=10.1.0-M1 AND <10.1.34) OR (>=9.0.0.M1 AND <9.0.98).

Viac informácií:

Zraniteľnosť bola verejne oznámená 20. 12. 2024.


Za CESNET-CERTS Martin Krajči dňa 8. 1. 2025.

CESNET CERTS Logo