Apache ha lanzado una actualización de seguridad que corrige una vulnerabilidad importante en el servidor web Tomcat que podría permitir a un atacante ejecutar código de forma remota.
Apache Tomcat es un servidor web de código abierto y un contenedor de servlets ampliamente utilizado para implementar y ejecutar aplicaciones web basadas en Java. Proporciona un entorno de ejecución para tecnologías Java Servlets, JavaServer Pages (JSP) y Java WebSocket.
El producto es popular entre las grandes empresas que ejecutan aplicaciones web personalizadas y proveedores de SaaS que dependen de Java para los servicios backend. Los servicios de alojamiento y nube integran Tomcat para el alojamiento de aplicaciones, y los desarrolladores de software lo utilizan para crear, probar e implementar aplicaciones web.
La vulnerabilidad corregida en la nueva versión se rastrea como CVE-2024-56337 y corrige la atenuación incompleta para CVE-2024-50379una ejecución remota de código (RCE) crítica, para la cual el proveedor lanzó un parche incompleto el 17 de diciembre.
El problema de seguridad es una vulnerabilidad de condición de carrera de tiempo de uso (TOCTOU) que afecta a los sistemas con la escritura de servlet predeterminada habilitada (parámetro de inicialización de “sólo lectura” establecido en falso) y que se ejecutan en sistemas de archivos que no distinguen entre mayúsculas y minúsculas.
El problema afecta a Apache Tomcat 11.0.0-M1 hasta 11.0.1, 10.1.0-M1 hasta 10.1.33 y 9.0.0.M1 hasta 9.0.97.
Usuarios debería actualizar a las últimas versiones de Tomcat: 11.0.2, 10.1.34 y 9.0.98.
Solucionar el problema requiere pasos adicionales. Dependiendo de la versión de Java utilizada, los usuarios deben realizar las siguientes acciones además de actualizar:
- Para Java 8 u 11, se recomienda establecer la propiedad del sistema “sun.io.useCanonCaches” en “falso” (valor predeterminado: verdadero).
- Para Java 17, asegúrese de que “sun.io.useCanonCaches”, si está configurado, esté configurado en falso (valor predeterminado: falso).
- Para Java 21 y posteriores, no es necesaria ninguna configuración. La propiedad problemática y el caché se han eliminado.
El equipo de Apache ha compartido sus planes para mejoras de seguridad en las próximas versiones de Tomcat, 11.0.3, 10.1.35 y 9.0.99.
Específicamente, Tomcat comprobará que “sun.io.useCanonCaches” esté configurado correctamente antes de habilitar el acceso de escritura para el servlet predeterminado en sistemas de archivos que no distinguen entre mayúsculas y minúsculas, y establecerá de forma predeterminada “sun.io.useCanonCaches » en falso cuando sea posible.
Estos cambios tienen como objetivo aplicar automáticamente configuraciones más seguras y reducir el riesgo de explotación de CVE-2024-50379 y CVE-2024-56337.