Apache Software Foundation (ASF) telah merilis pembaruan keamanan untuk mengatasi kerentanan penting dalam perangkat lunak server Tomcat yang dapat mengakibatkan eksekusi kode jarak jauh (RCE) dalam kondisi tertentu.
Kerentanan tersebut, yang dilacak sebagai CVE-2024-56337, digambarkan sebagai mitigasi yang tidak lengkap untuk CVE-2024-50379 (skor CVSS: 9.8), kelemahan keamanan kritis lainnya pada produk yang sama yang sebelumnya telah diatasi pada 17 Desember 2024.
“Pengguna yang menjalankan Tomcat pada sistem file yang tidak peka huruf besar-kecil dengan penulisan servlet default diaktifkan (parameter inisialisasi readonly diatur ke nilai non-default false) mungkin memerlukan konfigurasi tambahan untuk sepenuhnya memitigasi CVE-2024-50379 tergantung pada versi Java mereka. digunakan dengan Tomcat,” kata pengelola proyek dalam sebuah penasehatan minggu lalu.
Kedua kelemahan tersebut adalah kerentanan kondisi balapan Time-of-check Time-of-use (TOCTOU) yang dapat mengakibatkan eksekusi kode pada sistem file yang tidak peka huruf besar-kecil ketika servlet default diaktifkan untuk penulisan.
“Pembacaan dan pengunggahan secara bersamaan saat memuat file yang sama dapat melewati pemeriksaan sensitivitas huruf besar/kecil Tomcat dan menyebabkan file yang diunggah diperlakukan sebagai JSP yang mengarah ke eksekusi kode jarak jauh,” kata Apache dalam peringatan untuk CVE-2024-50379.
CVE-2024-56337 berdampak pada versi Apache Tomcat di bawah ini –
- Apache Tomcat 11.0.0-M1 hingga 11.0.1 (Diperbaiki pada 11.0.2 atau lebih baru)
- Apache Tomcat 10.1.0-M1 hingga 10.1.33 (Diperbaiki pada 10.1.34 atau lebih baru)
- Apache Tomcat 9.0.0.M1 hingga 9.0.97 (Diperbaiki pada 9.0.98 atau lebih baru)
Selain itu, pengguna diharuskan melakukan perubahan konfigurasi berikut tergantung pada versi Java yang dijalankan –
- Java 8 atau Java 11 – Secara eksplisit menyetel properti sistem sun.io.useCanonCaches ke false (defaultnya adalah true)
- Java 17 – Setel properti sistem sun.io.useCanonCaches ke false, jika sudah disetel (defaultnya ke false)
- Java 21 dan yang lebih baru – Tidak diperlukan tindakan apa pun, karena properti sistem telah dihapus
ASF memuji peneliti keamanan Nacl, WHOAMI, Yemoli, dan Ruozhi karena mengidentifikasi dan melaporkan kedua kekurangan tersebut. Ia juga mengakui Tim KnownSec 404 karena melaporkan CVE-2024-56337 secara independen dengan kode bukti konsep (PoC).
Pengungkapan ini terjadi ketika Zero Day Initiative (ZDI) membagikan rincian bug kritis di Webmin (CVE-2024-12828, skor CVSS: 9.9) yang memungkinkan penyerang jarak jauh yang terautentikasi mengeksekusi kode arbitrer.
“Kelemahan spesifik ada dalam penanganan permintaan CGI,” kata ZDI. “Masalah ini diakibatkan oleh kurangnya validasi string yang disediakan pengguna sebelum menggunakannya untuk menjalankan panggilan sistem. Penyerang dapat memanfaatkan kerentanan ini untuk mengeksekusi kode dalam konteks root.”
