Apache a publié une mise à jour de sécurité qui corrige une vulnérabilité importante dans le serveur Web Tomcat qui pourrait amener un attaquant à exécuter du code à distance.
Apache Tomcat est un serveur Web open source et un conteneur de servlets largement utilisés pour déployer et exécuter des applications Web basées sur Java. Il fournit un environnement d’exécution pour les servlets Java, les pages JavaServer (JSP) et les technologies Java WebSocket.
Le produit est populaire auprès des grandes entreprises qui exécutent des applications Web personnalisées, des fournisseurs SaaS qui s’appuient sur Java pour les services backend. Les services cloud et d’hébergement intègrent Tomcat pour l’hébergement d’applications, et les développeurs de logiciels l’utilisent pour créer, tester et déployer des applications Web.
La vulnérabilité corrigée dans la nouvelle version est suivie sous la référence CVE-2024-56337 et corrige une atténuation incomplète pour CVE-2024-50379, une exécution de code à distance critique (RCE), pour laquelle le fournisseur a publié un correctif incomplet le 17 décembre.
Le problème de sécurité est une vulnérabilité de condition de concurrence au moment de la vérification de l’heure d’utilisation (TOCTOU) qui affecte les systèmes avec l’écriture de servlet par défaut activée (paramètre d’initialisation en lecture seule défini sur false) et s’exécutant sur des systèmes de fichiers insensibles à la casse.
Le problème affecte Apache Tomcat 11.0.0-M1 à 11.0.1, 10.1.0-M1 à 10.1.33 et 9.0.0.De M1 à 9.0.97.
Les utilisateurs doivent effectuer une mise à niveau vers les dernières versions de Tomcat: 11.0.2, 10.1.34 et 9.0.98.
Résoudre le problème nécessite des étapes supplémentaires. Selon la version Java utilisée, les utilisateurs doivent effectuer les actions suivantes, en plus de la mise à niveau:
- Pour Java 8 ou 11, il est recommandé de définir la propriété système ‘sun.io.useCanonCaches’ sur ‘false’ (par défaut: true).
- Pour Java 17, assurez-vous que ‘sun. io. useCanonCaches’, s’il est défini, est configuré sur false (par défaut: false).
- Pour Java 21 et versions ultérieures, aucune configuration n’est nécessaire. La propriété et le cache problématique ont été supprimés.
L’équipe Apache a partagé des plans pour les améliorations de sécurité dans les prochaines versions de Tomcat, 11.0.3, 10.1.35 et 9.0.99.
Plus précisément, Tomcat vérifiera que ‘sun. io. useCanonCaches’ est correctement défini avant d’activer l’accès en écriture pour le servlet par défaut sur les systèmes de fichiers insensibles à la casse, et définira par défaut ‘sun.io.useCanonCaches’ sur false lorsque cela est possible.
Ces modifications visent à appliquer automatiquement des configurations plus sûres et à réduire le risque d’exploitation de CVE-2024-50379 et CVE-2024-56337.