Apache, Tomcat Web sunucusunda, bir saldırganın uzaktan kod yürütülmesine yol açabilecek önemli bir güvenlik açığını ele almak için bir güvenlik güncellemesi yayınladı.
Apache Tomcat, Java tabanlı web uygulamalarını dağıtmak ve çalıştırmak için yaygın olarak kullanılan açık kaynaklı bir web sunucusu ve sunucu uygulaması kapsayıcısıdır. Java Servlets, JavaServer sayfaları (JSP) ve Java WebSocket Technologies için bir çalışma zamanı ortamı sağlar.
Ürün, özel web uygulamalarını çalıştıran büyük işletmeler, arka uç hizmetleri için Java'ya güvenen SaaS sağlayıcıları arasında popülerdir. Uygulama barındırma için bulut ve barındırma hizmetleri integratetomcat ve yazılım geliştiricileri web uygulamaları oluşturmak, test etmek ve dağıtmak için kullanıyor.
Sabit güvenlik açığı CVE-2024-56337 olarak izlenir ve satıcının 17 Aralık'ta bir yama yayınladığı kritik bir uzaktan kod yürütme (RCE) olan CVE-2024-50379 için tam bir hafifletmeyi temsil eder.
CVE-2024-50379'u düzelten güncellemeyi yayınladıktan sonra, Apache ekibi, Java'nın eski sürümlerine sahip sanal makineler çalıştıran müşteriler için hafifletmenin eksik olduğunu öğrendi.
Her iki CVE tanımlayıcıları da aynı güvenlik açığını ifade eder, ancak CVE-2024-56337 Apache ile, ilk güvenlik açığını tamamen ele alan ek hafifletme detayları sağlar ve yöneticilerin bazı değişiklikleri manuel olarak yapması gerektiğini vurgular.
Bu nedenle, en son Tomcat sürümlerine (şu anda 11.0.2, 10.1.34 ve 9.0.98) yükseltmek için ilk öneri riski ele almak için yeterli değildir ve aşağıdaki değişiklikler de gereklidir:
Güvenlik sorunu, varsayılan sunucu uygulaması yazma etkinleştirilmiş ('Readonly' başlatma parametresi false olarak ayarlanmış) ve vaka duyarsız dosya sistemlerinde çalışma ile sistemleri etkileyen bir kullanım süresi (Toctou) yarış koşulu güvenlik açığıdır.
Sorun, Apache Tomcat 11.0.0-M1 ila 11.0.1, 10.1.0-M1 ila 10.1.33 ve 9.0.0.m1 ila 9.0.97'yi etkiler.
Apache ekibi, Tomcat, 11.0.3, 10.1.35 ve 9.0.99'un gelecek sürümlerinde güvenlik geliştirmeleri için planları paylaştı. Özellikle, Tomcat, "Sun.io.usecanoncaches" ın, durum duyarsız dosya sistemlerinde varsayılan sunucu uygulaması için yazma erişimini etkinleştirmeden önce doğru ayarlandığını ve varsayılan "Sun.io.usecanoncaches" ın mümkün olduğunca false olarak false olacağını kontrol edecektir.
Bu değişiklikler daha güvenli konfigürasyonları otomatik olarak uygulamayı ve CVE-2024-50379 ve CVE-2024-56337'nin kullanılma riskini azaltmayı amaçlamaktadır.
Güncelleme [24 Aralık]: Yeni güvenlik açığının Java'nın eski sürümlerini çalıştıran örnekler için hafifletme ayrıntıları eklediğini açıklığa kavuşturmak için düzenlenen makale
Apache, Mina'daki kritik kusurları uyarıyor, devasa, trafik kontrolü
Yeni Kritik Apache Struts Kusurlu Sunucular bulmak için sömürüldü
Veri hırsızlığı saldırılarında sömürülen yeni Cleo sıfır gün RCE kusuru
Veeam servis sağlayıcı konsolundaki kritik RCE hatasını uyarıyor
KDE 4/5'teki sıfır gün hatası bir klasör açarak komutları yürütür
Kaynak: Bleeping Computer