Lỗ hổng Apache Tomcat CVE-2024-56337 khiến máy chủ bị tấn công RCE

Apache Software Foundation (ASF) đã phát hành một bản cập nhật bảo mật để giải quyết một lỗ hổng quan trọng trong phần mềm máy chủ Tomcat có thể dẫn đến việc thực thi mã từ xa (RCE) trong một số điều kiện nhất định.

Lỗ hổng được theo dõi là CVE-2024-56337, tương tự với CVE-2024-50379 (CVSS: 9.8), một lỗ hổng bảo mật nghiêm trọng khác trong cùng một sản phẩm đã được giải quyết trước đó vào ngày 17 tháng 12 năm 2024.

Người dùng chạy Tomcat trên hệ thống tệp không phân biệt chữ hoa chữ thường với tính năng ghi servlet mặc định được bật (tham số khởi tạo chỉ đọc được đặt thành giá trị không mặc định là false) có thể cần cấu hình bổ sung để giảm thiểu hoàn toàn CVE-2024-50379 tùy thuộc vào phiên bản Java mà họ đang sử dụng với Tomcat.

Cả hai lỗ hổng đều là lỗ hổng race condition Time-of-check Time-of-use (TOCTOU) có thể dẫn đến việc thực thi mã trên các hệ thống tệp không phân biệt chữ hoa chữ thường khi ghi servlet mặc định được bật. Việc đọc và tải lên đồng thời trong cùng một tệp có thể bỏ qua các kiểm tra phân biệt chữ hoa chữ thường của Tomcat và khiến một tệp được tải lên được coi là JSP dẫn đến việc thực thi mã từ xa.

CVE-2024-56337 ảnh hưởng đến các phiên bản Apache Tomcat 11.0.0-M1 - 11.0.1, 10.1.0-M1 - 10.1.33 và 9.0.0.M1 - 9.0.97. Ngoài ra, người dùng được khuyến nghị thực hiện các thay đổi cấu hình tùy thuộc vào phiên bản Java đang chạy. Tiết lộ được đưa ra khi Zero Day Initiative (ZDI) chia sẻ chi tiết về một lỗi nghiêm trọng trong Webmin (CVE-2024-12828, CVSS: 9.9) cho phép những kẻ tấn công từ xa được xác thực thực thi mã tùy ý.

Nguồn: The Hacker News

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: