O Apache liberou uma atualização de segurança crucial para o servidor web Tomcat, abordando uma vulnerabilidade que possibilitava a execução remota de código (RCE). Essa falha, rastreada como CVE-2024-56337, é uma mitigação incompleta de outra vulnerabilidade crítica (CVE-2024-50379), corrigida inicialmente em 17 de dezembro de 2024.
Apache corrige falha crítica no servidor web Tomcat
Impacto da vulnerabilidade
O Apache Tomcat é amplamente utilizado como servidor web e contêiner de servlet para tecnologias Java, como Java Servlets, JavaServer Pages (JSP) e Java WebSocket. Empresas de grande porte, provedores de SaaS e serviços de hospedagem dependem do Tomcat para o desenvolvimento e execução de aplicativos web baseados em Java.
A falha explorava uma condição de corrida TOCTOU (time-of-check-time-use) em sistemas onde o parâmetro de inicialização ‘readonly’ estava definido como falso, com sistemas de arquivos que não diferenciam maiúsculas e minúsculas. Essa condição permitia que atacantes explorassem o acesso de gravação no servlet padrão.
Versões afetadas
Os sistemas impactados incluem as seguintes versões do Tomcat:
- 11.0.0-M1 até 11.0.1
- 10.1.0-M1 até 10.1.33
- 9.0.0.M1 até 9.0.97
Para mitigar os riscos, os usuários devem atualizar para as versões mais recentes:
- Tomcat 11.0.2
- Tomcat 10.1.34
- Tomcat 9.0.98
Ações necessárias após a atualização
Além de instalar a atualização, é necessário realizar ajustes adicionais no sistema, dependendo da versão do Java utilizada:
- Java 8 ou 11: Configure a propriedade do sistema
sun.io.useCanonCaches
como ‘false’ (valor padrão: true). - Java 17: Verifique se
sun.io.useCanonCaches
, se configurado, está definido como falso (valor padrão: falso). - Java 21 ou posterior: Nenhuma ação adicional é necessária, pois a propriedade problemática foi removida.
Melhorias futuras
A equipe do Apache já planeja alterações para as próximas versões do Tomcat (11.0.3, 10.1.35 e 9.0.99). Essas melhorias incluirão verificações automáticas de configurações de segurança e a configuração padrão de sun.io.useCanonCaches
como falso, sempre que possível.
Essas mudanças visam fortalecer a segurança do servidor e reduzir significativamente os riscos associados às vulnerabilidades CVE-2024-50379 e CVE-2024-56337.
Atualize seu sistema imediatamente e implemente as configurações recomendadas para garantir a proteção contra possíveis ataques.