L’Apache Software Foundation (ASF) ha rilasciato un aggiornamento di sicurezza per il suo software server Tomcat, risolvendo una vulnerabilità critica identificata come CVE-2024-56337. Questo difetto potrebbe consentire l’esecuzione di codice remoto (RCE) in condizioni specifiche. Interessa le versioni di Apache Tomcat da 11.0.0-M1 a 11.0.1, da 10.1.0-M1 a 10.1.33 e da 9.0.0.M1 a 9.0.97. Gli utenti sono invitati ad aggiornare alle versioni 11.0.2, 10.1.34 e 9.0.98 per mitigare i rischi.
Apache Software Foundation risolve il difetto critico di Tomcat
Descritti gli sviluppatori di ASF CVE-2024-56337 come una mitigazione incompleta per CVE-2024-50379un altro difetto critico risolto nel dicembre 2024 con un punteggio CVSS di 9,8. Entrambe le vulnerabilità derivano da problemi di race condition TOCTOU (Time-of-check Time-of-use) che possono portare all’esecuzione di codice non autorizzato su file system senza distinzione tra maiuscole e minuscole quando il servlet predefinito è abilitato per l’accesso in scrittura. Ciò si verifica quando i file caricati ignorano i controlli di distinzione tra maiuscole e minuscole di Tomcat a causa di azioni di lettura e caricamento simultanee.
Per mitigare completamente queste vulnerabilità, gli amministratori devono implementare modifiche di configurazione specifiche a seconda della versione Java. Per Java 8 o Java 11, è necessario impostare la proprietà di sistema sun.io.useCanonCaches su false, che per impostazione predefinita è true. Gli utenti Java 17 devono verificare che questa proprietà, se impostata, sia configurata come false; il valore predefinito è falso. Non è necessaria alcuna azione per Java 21 e versioni successive, poiché la proprietà di sistema è stata rimossa.
L’ASF ha accreditato i ricercatori di sicurezza Nacl, WHOAMI, Yemoli e Ruozhi per aver segnalato queste vulnerabilità. Hanno inoltre riconosciuto il team KnownSec 404 per il suo rapporto indipendente su CVE-2024-56337, che includeva il codice proof-of-concept (PoC).
Fortinet sollecita un’azione immediata: una falla critica RCE mette a rischio i sistemi
Necessità di un’azione urgente sulla sicurezza di Tomcat
La divulgazione di CVE-2024-56337 funge da promemoria fondamentale per gli utenti Tomcat. Sebbene la patch iniziale di dicembre mirasse a proteggere il sistema, analisi successive hanno rivelato che erano necessarie misure aggiuntive per garantire una protezione completa. Di conseguenza, la decisione di emettere un nuovo ID CVE sottolinea la necessità per gli amministratori di sistema di agire oltre la semplice applicazione delle patch.
Le vulnerabilità colpiscono principalmente le aziende e i fornitori di servizi che utilizzano Tomcat come backend per le applicazioni Java. Considerato l’uso diffuso di Tomcat, l’impatto di questi difetti potrebbe essere significativo. L’avviso esorta gli utenti a valutare attentamente le proprie configurazioni, in particolare quelle che si affidano a file system senza distinzione tra maiuscole e minuscole con il servlet predefinito abilitato.
In risposta ai problemi di sicurezza in corso, ASF sta pianificando miglioramenti che controlleranno automaticamente la configurazione della proprietà sun.io.useCanonCaches prima di consentire l’accesso in scrittura per il servlet predefinito nelle versioni future di Tomcat. Gli aggiornamenti previsti sono impostati per le versioni 11.0.3, 10.1.35 e 9.0.99. Questi miglioramenti mirano a ridurre il rischio di vulnerabilità simili a CVE-2024-50379 e CVE-2024-56337 in futuro.
Parallelamente, la Zero Day Initiative (ZDI) ha recentemente rivelato un’altra vulnerabilità critica, CVE-2024-12828che colpisce Webmin, con un punteggio CVSS di 9,9. Questo difetto consente agli aggressori remoti autenticati di eseguire codice arbitrario a causa della convalida impropria delle stringhe fornite dall’utente durante la gestione delle richieste CGI, compromettendo potenzialmente l’integrità del sistema.
La sicurezza rimane una preoccupazione fondamentale per tutte le piattaforme software.
Credito immagine in primo piano: Kerem Gülen/Metà viaggio
