Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.
Apache Tomcat là một máy chủ web mã nguồn mở và container servlet được sử dụng rộng rãi để triển khai và chạy các ứng dụng web dựa trên Java. Nó cung cấp môi trường thời gian chạy cho các công nghệ Java Servlets, JavaServer Pages (JSP) và Java WebSocket.
Sản phẩm này phổ biến với các doanh nghiệp lớn chạy ứng dụng web tùy chỉnh, nhà cung cấp SaaS dựa vào Java cho các dịch vụ phụ trợ. Các dịch vụ lưu trữ và đám mây tích hợp Tomcat để lưu trữ ứng dụng và các nhà phát triển phần mềm sử dụng nó để xây dựng, thử nghiệm và triển khai các ứng dụng web.
Lỗ hổng đã được khắc phục có tên là CVE-2024-56337 và là bản vá hoàn chỉnh cho CVE-2024-50379 , một lỗi thực thi mã từ xa (RCE) nghiêm trọng mà nhà cung cấp đã phát hành vào ngày 17 tháng 12.
Sau khi phát hành bản cập nhật sửa lỗi CVE-2024-50379, nhóm Apache nhận thấy biện pháp khắc phục chưa hoàn thiện đối với các máy khách chạy máy ảo có phiên bản Java cũ hơn.
Cả hai mã định danh CVE đều đề cập đến cùng một lỗ hổng bảo mật nhưng với CVE-2024-56337, Apache cung cấp thêm thông tin chi tiết về biện pháp giảm thiểu để giải quyết hoàn toàn lỗ hổng bảo mật ban đầu, đồng thời nhấn mạnh rằng quản trị viên phải thực hiện một số thay đổi theo cách thủ công.
Do đó, khuyến nghị ban đầu về việc nâng cấp lên phiên bản Tomcat mới nhất (hiện tại là 11.0.2, 10.1.34 và 9.0.98) là không đủ để giải quyết rủi ro và cũng cần thực hiện những thay đổi sau:
nếu chạy trên Java 8 hoặc 11, bạn nên đặt thuộc tính hệ thống ‘ sun.io.useCanonCaches ‘ thành ‘false’ (mặc định: true)
nếu chạy trên Java 17 và ‘ sun.io.useCanonCaches ‘ được thiết lập, nó cần được cấu hình thành false (mặc định: false)
đối với Java 21 trở lên, không cần cấu hình. Thuộc tính và bộ nhớ đệm có vấn đề đã được xóa
Vấn đề bảo mật là lỗ hổng bảo mật về tình trạng chạy đua thời gian kiểm tra thời gian sử dụng (TOCTOU) ảnh hưởng đến các hệ thống có bật chức năng ghi servlet mặc định (tham số khởi tạo ‘chỉ đọc’ được đặt thành false) và chạy trên hệ thống tệp không phân biệt chữ hoa chữ thường.
Sự cố này ảnh hưởng đến Apache Tomcat 11.0.0-M1 đến 11.0.1, 10.1.0-M1 đến 10.1.33 và 9.0.0.M1 đến 9.0.97.
Nhóm Apache đã chia sẻ kế hoạch cải tiến bảo mật trong các phiên bản sắp tới của Tomcat, 11.0.3, 10.1.35 và 9.0.99. Cụ thể, Tomcat sẽ kiểm tra xem ‘sun.io.useCanonCaches’ có được thiết lập đúng không trước khi bật quyền truy cập ghi cho servlet mặc định trên các hệ thống tệp không phân biệt chữ hoa chữ thường và sẽ mặc định ‘sun.io.useCanonCaches’ thành false khi có thể.
Những thay đổi này nhằm mục đích tự động áp dụng các cấu hình an toàn hơn và giảm nguy cơ khai thác CVE-2024-50379 và CVE-2024-56337.
Bài viết đã được chỉnh sửa để làm rõ rằng lỗ hổng mới bổ sung thông tin chi tiết về biện pháp giảm thiểu cho các trường hợp chạy phiên bản Java cũ hơn
