Новые уязвимости в Apache Tomcat могут позволить удалённое выполнение кода
В популярном open-source веб-сервере и контейнере сервлетов Apache Tomcat выявлены две новые серьёзные уязвимости, которые могут позволить злоумышленникам удалённое выполнение кода (RCE) и проведение атак типа отказ в обслуживании (DoS).
Фонд Apache Software Foundation выпустил патчи для устранения этих уязвимостей и настоятельно рекомендует пользователям незамедлительно обновить свои системы.
Подробности уязвимостей
- CVE-2024-50379: Удалённое выполнение кода (RCE)
Эта уязвимость оценена как «Критическая» и затрагивает следующие версии Apache Tomcat:
- Apache Tomcat с версии 11.0.0-M1 по 11.0.1;
- Apache Tomcat с версии 10.1.0-M1 по 10.1.33;
- Apache Tomcat с версии 9.0.0.M1 по 9.0.97.
Уязвимость связана с недостатками проверки целостности данных в Tomcat. Если по умолчанию сервлеты настроены с правами записи, а файловая система нечувствительна к регистру, злоумышленники могут воспользоваться состоянием гонки («race condition») между процессами загрузки и чтения. Это может привести к тому, что загруженные файлы будут распознаны как JSP-файлы, что, в свою очередь, позволит выполнить произвольный код на сервере.
- CVE-2024-54677: Отказ в обслуживании (DoS)
Эта уязвимость имеет «Низкий» уровень опасности, однако может представлять значительный риск. Она затрагивает те же версии Apache Tomcat и может быть использована для атак типа отказ в обслуживании.
Уязвимость вызвана ошибкой в примерных веб-приложениях, поставляемых с Tomcat. В них отсутствует механизм ограничения объёма загружаемых данных. В результате злоумышленник может загрузить большие объёмы данных, что приведёт к ошибке «OutOfMemoryError» и остановке сервиса.
Однако примерные приложения Tomcat по умолчанию доступны только через localhost, что несколько сокращает потенциальную поверхность атаки.
Apache Software Foundation рекомендует установить следующие версии, которые устраняют обе уязвимости:
- Apache Tomcat 11.0.2 или новее;
- Apache Tomcat 10.1.34 или новее;
- Apache Tomcat 9.0.98 или новее.
Обновление этих версий значительно повысит безопасность установок Tomcat. Организации, использующие уязвимые версии, должны как можно скорее провести обновление.
Обнаружение этих уязвимостей подчеркивает важность регулярных проверок безопасности веб-серверов и своевременного применения обновлений. Поскольку Apache Tomcat широко используется в корпоративной среде, воздействие этих уязвимостей может быть значительным.
ИТ-администраторам и специалистам по безопасности следует немедленно проверить свои установки Tomcat и установить необходимые обновления. Несмотря на оперативное решение этих проблем со стороны Apache Software Foundation, данный случай напоминает о постоянных сложностях в поддержании безопасности в сложных программных экосистемах.
