Vulnerabilidade corrigida

Apache lança correção para falha crítica de segurança no Tomcat

Atualização de segurança do Apache resolve vulnerabilidade no Tomcat que permitia execução remota de código. Saiba como proteger sistemas afetados e prevenir riscos.

Apache Tomcat

O Apache liberou uma atualização de segurança crucial para o servidor web Tomcat, abordando uma vulnerabilidade que possibilitava a execução remota de código (RCE). Essa falha, rastreada como CVE-2024-56337, é uma mitigação incompleta de outra vulnerabilidade crítica (CVE-2024-50379), corrigida inicialmente em 17 de dezembro de 2024.

Apache corrige falha crítica no servidor web Tomcat

Apache Tomcat

Impacto da vulnerabilidade

O Apache Tomcat é amplamente utilizado como servidor web e contêiner de servlet para tecnologias Java, como Java Servlets, JavaServer Pages (JSP) e Java WebSocket. Empresas de grande porte, provedores de SaaS e serviços de hospedagem dependem do Tomcat para o desenvolvimento e execução de aplicativos web baseados em Java.

A falha explorava uma condição de corrida TOCTOU (time-of-check-time-use) em sistemas onde o parâmetro de inicialização ‘readonly’ estava definido como falso, com sistemas de arquivos que não diferenciam maiúsculas e minúsculas. Essa condição permitia que atacantes explorassem o acesso de gravação no servlet padrão.

Versões afetadas

Os sistemas impactados incluem as seguintes versões do Tomcat:

  • 11.0.0-M1 até 11.0.1
  • 10.1.0-M1 até 10.1.33
  • 9.0.0.M1 até 9.0.97

Para mitigar os riscos, os usuários devem atualizar para as versões mais recentes:

  • Tomcat 11.0.2
  • Tomcat 10.1.34
  • Tomcat 9.0.98

Ações necessárias após a atualização

Além de instalar a atualização, é necessário realizar ajustes adicionais no sistema, dependendo da versão do Java utilizada:

  • Java 8 ou 11: Configure a propriedade do sistema sun.io.useCanonCaches como ‘false’ (valor padrão: true).
  • Java 17: Verifique se sun.io.useCanonCaches, se configurado, está definido como falso (valor padrão: falso).
  • Java 21 ou posterior: Nenhuma ação adicional é necessária, pois a propriedade problemática foi removida.

Melhorias futuras

A equipe do Apache já planeja alterações para as próximas versões do Tomcat (11.0.3, 10.1.35 e 9.0.99). Essas melhorias incluirão verificações automáticas de configurações de segurança e a configuração padrão de sun.io.useCanonCaches como falso, sempre que possível.

Essas mudanças visam fortalecer a segurança do servidor e reduzir significativamente os riscos associados às vulnerabilidades CVE-2024-50379 e CVE-2024-56337.

Atualize seu sistema imediatamente e implemente as configurações recomendadas para garantir a proteção contra possíveis ataques.