Ícone do site SempreUpdate

Apache lança correção para falha crítica de segurança no Tomcat

Apache Tomcat

O Apache liberou uma atualização de segurança crucial para o servidor web Tomcat, abordando uma vulnerabilidade que possibilitava a execução remota de código (RCE). Essa falha, rastreada como CVE-2024-56337, é uma mitigação incompleta de outra vulnerabilidade crítica (CVE-2024-50379), corrigida inicialmente em 17 de dezembro de 2024.

Apache corrige falha crítica no servidor web Tomcat

Apache Tomcat

Impacto da vulnerabilidade

O Apache Tomcat é amplamente utilizado como servidor web e contêiner de servlet para tecnologias Java, como Java Servlets, JavaServer Pages (JSP) e Java WebSocket. Empresas de grande porte, provedores de SaaS e serviços de hospedagem dependem do Tomcat para o desenvolvimento e execução de aplicativos web baseados em Java.

A falha explorava uma condição de corrida TOCTOU (time-of-check-time-use) em sistemas onde o parâmetro de inicialização ‘readonly’ estava definido como falso, com sistemas de arquivos que não diferenciam maiúsculas e minúsculas. Essa condição permitia que atacantes explorassem o acesso de gravação no servlet padrão.

Versões afetadas

Os sistemas impactados incluem as seguintes versões do Tomcat:

Para mitigar os riscos, os usuários devem atualizar para as versões mais recentes:

Ações necessárias após a atualização

Além de instalar a atualização, é necessário realizar ajustes adicionais no sistema, dependendo da versão do Java utilizada:

Melhorias futuras

A equipe do Apache já planeja alterações para as próximas versões do Tomcat (11.0.3, 10.1.35 e 9.0.99). Essas melhorias incluirão verificações automáticas de configurações de segurança e a configuração padrão de sun.io.useCanonCaches como falso, sempre que possível.

Essas mudanças visam fortalecer a segurança do servidor e reduzir significativamente os riscos associados às vulnerabilidades CVE-2024-50379 e CVE-2024-56337.

Atualize seu sistema imediatamente e implemente as configurações recomendadas para garantir a proteção contra possíveis ataques.

Sair da versão mobile