Segurança

Apache lança correção para falha crítica de segurança no Tomcat

Imagem do autor do SempreUpdate Jardeson Márcio
Por Jardeson Márcio
Segurança
3 min
Apache Tomcat

O Apache liberou uma atualização de segurança crucial para o servidor web Tomcat, abordando uma vulnerabilidade que possibilitava a execução remota de código (RCE). Essa falha, rastreada como CVE-2024-56337, é uma mitigação incompleta de outra vulnerabilidade crítica (CVE-2024-50379), corrigida inicialmente em 17 de dezembro de 2024.

Conteúdo

Apache corrige falha crítica no servidor web Tomcat

Apache Tomcat

Impacto da vulnerabilidade

O Apache Tomcat é amplamente utilizado como servidor web e contêiner de servlet para tecnologias Java, como Java Servlets, JavaServer Pages (JSP) e Java WebSocket. Empresas de grande porte, provedores de SaaS e serviços de hospedagem dependem do Tomcat para o desenvolvimento e execução de aplicativos web baseados em Java.

A falha explorava uma condição de corrida TOCTOU (time-of-check-time-use) em sistemas onde o parâmetro de inicialização ‘readonly’ estava definido como falso, com sistemas de arquivos que não diferenciam maiúsculas e minúsculas. Essa condição permitia que atacantes explorassem o acesso de gravação no servlet padrão.

Versões afetadas

Os sistemas impactados incluem as seguintes versões do Tomcat:

  • 11.0.0-M1 até 11.0.1
  • 10.1.0-M1 até 10.1.33
  • 9.0.0.M1 até 9.0.97

Para mitigar os riscos, os usuários devem atualizar para as versões mais recentes:

  • Tomcat 11.0.2
  • Tomcat 10.1.34
  • Tomcat 9.0.98

Ações necessárias após a atualização

Além de instalar a atualização, é necessário realizar ajustes adicionais no sistema, dependendo da versão do Java utilizada:

  • Java 8 ou 11: Configure a propriedade do sistema sun.io.useCanonCaches como ‘false’ (valor padrão: true).
  • Java 17: Verifique se sun.io.useCanonCaches, se configurado, está definido como falso (valor padrão: falso).
  • Java 21 ou posterior: Nenhuma ação adicional é necessária, pois a propriedade problemática foi removida.

Melhorias futuras

A equipe do Apache já planeja alterações para as próximas versões do Tomcat (11.0.3, 10.1.35 e 9.0.99). Essas melhorias incluirão verificações automáticas de configurações de segurança e a configuração padrão de sun.io.useCanonCaches como falso, sempre que possível.

Essas mudanças visam fortalecer a segurança do servidor e reduzir significativamente os riscos associados às vulnerabilidades CVE-2024-50379 e CVE-2024-56337.

Atualize seu sistema imediatamente e implemente as configurações recomendadas para garantir a proteção contra possíveis ataques.

TAGGED:
Compartilhe este artigo
Artigo anterior malware IA IA transforma malwares e ameaça cibersegurança
Próximo artigo Imagem de um relógio despertador sobre fundo laranja com texto 'Linux 6.14', simbolizando o lançamento iminente da nova versão do kernel Linux. drm_log melhora a exibição de mensagens no boot do Linux 6.14
Android

Android Auto terá aplicativos de vídeo (e áudio): jogue conteúdo no seu carro (parado ou em movimento)

Interface do Android Auto com aplicativos de vídeo e reprodução de áudio enquanto o carro está em movimento

Como funcionam os novos recursos de vídeo e áudio no Android Auto!

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto