吳明宜Apache 軟體基金會釋出Tomcat更新,修補CVE-2024-56337漏洞,影響多版本並需特定Java配置避免風險。該漏洞為TOCTOU競爭條件,導致遠端程式碼執行,另曝Webmin高危漏洞CVE-2024-12828。
Apache 軟體基金會 (Apache Software Foundation, ASF) 本周發佈更新版本,修補 Tomcat 伺服器軟體一個可在某些條件下造成遠端程式碼執行的重大漏洞。
這個漏洞為 CVE-2024-56337,其實它是 CVE-2024-30379 (CVSS score:9.8) 修補不全的結果,後者是 12 月 17 日發生在同一產品另一重大安全漏洞。
Tomcat 安全公告指出,若攻擊者在一個不分輸入大小寫、開啟以預設的 servlet write 的檔案系統上執行 Tomcat,視他使用的 Java 版本而定,需要配合另一個配置才能完全減緩 CVE-2024-50379 的風險。
二個漏洞都是 Time-of-check Time-of-use (TOCTOU) 競爭條件漏洞,可在不分大小寫的檔案系統中引發程式碼執行。同時讀取和上傳同一檔案,可繞過 Tomcat 的大小寫檢查,使上傳的檔案被當成 JSP,導致遠端程式碼執行。
CVE-2024-56337 影響以下版本 Tomcat:
- Apache Tomcat 11.0.0-M1 to 11.0.1(發佈 11.0.2 以上版本修補)
- Apache Tomcat 10.1.0-M1 to 10.1.33(發佈 10.1.34 以上版本修補)
Apache Tomcat 9.0.0.M1 to 9.0.97(發佈 9.0.98 以上版本修補)
除了安裝最新版本,視用戶使用的 Java 版本而定,還必須再完成以下配置:
- Java 8 、 Java 11-將系統屬性 sun.io.useCanonCaches 改為 false(預設為 true)。
- Java 17-將系統屬性 sun.io.useCanonCaches 改為 false(預設為 false,但可能被變更 true)。
- Java 21 以上-無需變更,因系統屬性已移除(預設為 true)。
兩個漏洞是由暱稱 Nacl 、 WHOAMI 、 Yemoli 和 Ruozhi 等研究人員通報,KnownSec 404 團隊則通報 CVE-2024-56337 及 PoC 程式碼。
上周資安業者 Zero Day Initiative (ZDI) 揭露 另一重大風險漏洞 CVE-2024-12828,影響 Webmin,CVSS 風險值 9.9,本漏洞出於對用戶輸入字串未適當驗證即用以執行系統呼叫,可讓經授權人士以 root 權限遠端執行程式碼。