Cảnh Báo 3 Lỗ Hổng Mới trong Apache Tomcat

Apache đã công bố ba lỗ hổng nghiêm trọng trong Apache Tomcat – một trong những máy chủ web và container servlet mã nguồn mở phổ biến nhất. Các lỗ hổng này bao gồm: bỏ qua xác thực (authentication bypass), lỗi xử lý yêu cầu HTTP/2 và lỗ hổng cross-site scripting (XSS). Nếu không được khắc phục, chúng có thể khiến các ứng dụng web sử dụng Tomcat dễ dàng bị tấn công.

Chi tiết các lỗ hổng

1. Lỗ hổng CVE-2024-52316 – Bỏ qua xác thực

Mô tả:

Lỗi này xuất hiện khi Apache Tomcat được cấu hình để sử dụng Jakarta Authentication (trước đây là JASPIC) với một ServerAuthContext tùy chỉnh. Nếu trong quá trình xác thực, thành phần này ném ra ngoại lệ nhưng không đặt trạng thái HTTP để chỉ ra rằng xác thực thất bại, thì quá trình xác thực có thể được coi là thành công. Điều này cho phép kẻ tấn công bỏ qua cơ chế bảo mật và truy cập trái phép vào hệ thống.

Ảnh hưởng:

Dù chưa có báo cáo về các thành phần Jakarta Authentication thực tế có hành vi này, đây vẫn là một nguy cơ tiềm tàng cho các hệ thống sử dụng cấu hình tương tự.

2. Lỗ hổng CVE-2024-52317 – Xử lý nhầm yêu cầu và phản hồi HTTP/2

Mô tả:

Lỗi xảy ra do tái chế không đúng cách các yêu cầu và phản hồi trong giao thức HTTP/2. Điều này có thể dẫn đến việc rò rỉ dữ liệu giữa các người dùng khác nhau. Ví dụ, thông tin nhạy cảm của người dùng A có thể xuất hiện trong phản hồi gửi cho người dùng B.

Ảnh hưởng:

Đây là một lỗ hổng nghiêm trọng, đặc biệt khi các ứng dụng xử lý dữ liệu nhạy cảm như thông tin cá nhân, tài khoản ngân hàng hoặc các dữ liệu quan trọng khác.

3. Lỗ hổng CVE-2024-52318 – Lỗ hổng XSS trong JSP

Mô tả:

Lỗ hổng này xuất hiện từ một bản sửa lỗi trước đó (improvement 69333), dẫn đến việc các JSP tags được tái sử dụng không được giải phóng đúng cách sau khi sử dụng. Điều này khiến một số nội dung của các thẻ JSP không được thoát (escape) đúng cách, mở ra cơ hội để kẻ tấn công chèn mã độc JavaScript vào các trang web.

Ảnh hưởng:

Kẻ tấn công có thể sử dụng lỗ hổng này để đánh cắp dữ liệu người dùng, chiếm quyền điều khiển phiên (session hijacking) hoặc thực hiện các hành vi độc hại khác.

Khuyến nghị

Apache Tomcat đã phát hành các bản vá lỗi cho cả ba lỗ hổng trên. Người dùng được khuyến nghị nâng cấp lên phiên bản mới nhất phù hợp với hệ thống của mình:

  • Đối với CVE-2024-52316 và CVE-2024-52317: Cập nhật lên Apache Tomcat 11.0.0 trở lên, 10.1.31 trở lên, hoặc 9.0.96 trở lên.

  • Đối với CVE-2024-52318: Cập nhật lên Apache Tomcat 11.0.1 trở lên, 10.1.33 trở lên, hoặc 9.0.97 trở lên.

  • Kiểm tra cấu hình hiện tại: Xem lại cấu hình Jakarta Authentication hoặc HTTP/2 trong môi trường của bạn để đảm bảo không bị ảnh hưởng bởi các lỗ hổng này.

  • Nâng cấp ngay lập tức: Áp dụng các bản vá được cung cấp bởi Apache Tomcat.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: