Die Apache Software Foundation (ASF) hat ein Sicherheitsupdate für ihre Tomcat-Serversoftware veröffentlicht, das eine kritische Schwachstelle mit der Bezeichnung CVE-2024-56337 behebt. Dieser Fehler könnte unter bestimmten Bedingungen die Remotecodeausführung (RCE) ermöglichen. Betroffen sind die Versionen von Apache Tomcat von 11.0.0-M1 bis 11.0.1, 10.1.0-M1 bis 10.1.33 und 9.0.0.M1 bis 9.0.97. Benutzern wird dringend empfohlen, ein Upgrade auf die Versionen 11.0.2, 10.1.34 und 9.0.98 durchzuführen, um Risiken zu mindern.
Apache Software Foundation behebt kritischen Tomcat-Fehler
Entwickler bei ASF beschrieben CVE-2024-56337 als unvollständige Milderung für CVE-2024-50379ein weiterer kritischer Fehler, der im Dezember 2024 mit einem CVSS-Score von 9,8 behoben wurde. Beide Schwachstellen sind auf TOCTOU-Race-Condition-Probleme (Time-of-Check Time-of-Use) zurückzuführen, die zu unbefugter Codeausführung auf Dateisystemen ohne Berücksichtigung der Groß-/Kleinschreibung führen können, wenn das Standard-Servlet für Schreibzugriff aktiviert ist. Dies tritt auf, wenn hochgeladene Dateien aufgrund gleichzeitiger Lese- und Upload-Aktionen die Groß-/Kleinschreibungsprüfungen von Tomcat umgehen.
Um diese Schwachstellen vollständig zu entschärfen, müssen Administratoren abhängig von ihrer Java-Version spezifische Konfigurationsänderungen vornehmen. Für Java 8 oder Java 11 ist es erforderlich, die Systemeigenschaft sun.io.useCanonCaches auf „false“ zu setzen, was standardmäßig „true“ ist. Benutzer von Java 17 sollten sicherstellen, dass diese Eigenschaft, sofern sie festgelegt ist, als „false“ konfiguriert ist. Der Standardwert ist „false“. Für Java 21 und höher ist keine Aktion erforderlich, da die Systemeigenschaft entfernt wurde.
Die ASF dankte den Sicherheitsforschern Nacl, WHOAMI, Yemoli und Ruozhi für die Meldung dieser Schwachstellen. Sie würdigten außerdem das KnownSec 404-Team für seinen unabhängigen Bericht zu CVE-2024-56337, der einen Proof-of-Concept-Code (PoC) enthielt.
Fortinet fordert sofortiges Handeln: Kritischer RCE-Fehler legt Systeme offen
Es besteht dringender Handlungsbedarf hinsichtlich der Tomcat-Sicherheit
Die Offenlegung von CVE-2024-56337 ist eine wichtige Erinnerung für Tomcat-Benutzer. Obwohl der erste Patch im Dezember darauf abzielte, das System zu sichern, ergaben spätere Analysen, dass zusätzliche Maßnahmen erforderlich waren, um einen vollständigen Schutz zu gewährleisten. Die Entscheidung zur Ausstellung einer neuen CVE-ID unterstreicht daher die Notwendigkeit für Systemadministratoren, Maßnahmen zu ergreifen, die über das bloße Einspielen von Patches hinausgehen.
Die Schwachstellen betreffen vor allem Unternehmen und Dienstanbieter, die Tomcat als Backend für Java-Anwendungen nutzen. Angesichts der weiten Verbreitung von Tomcat könnten die Auswirkungen dieser Mängel erheblich sein. Der Hinweis fordert Benutzer dazu auf, ihre Konfigurationen sorgfältig zu bewerten, insbesondere solche, die auf Dateisystemen basieren, bei denen die Groß-/Kleinschreibung nicht beachtet wird und bei denen das Standard-Servlet aktiviert ist.
Als Reaktion auf anhaltende Sicherheitsprobleme plant die ASF Verbesserungen, die die Konfiguration der Eigenschaft sun.io.useCanonCaches automatisch überprüfen, bevor in zukünftigen Versionen von Tomcat Schreibzugriff für das Standard-Servlet zugelassen wird. Erwartete Updates sind für die Versionen 11.0.3, 10.1.35 und 9.0.99 festgelegt. Diese Verbesserungen zielen darauf ab, das Risiko von Schwachstellen ähnlich wie CVE-2024-50379 und CVE-2024-56337 in Zukunft zu verringern.
Parallel dazu hat die Zero Day Initiative (ZDI) kürzlich eine weitere kritische Sicherheitslücke aufgedeckt: CVE-2024-12828betrifft Webmin, mit einem CVSS-Score von 9,9. Dieser Fehler ermöglicht es authentifizierten Remote-Angreifern, aufgrund einer unsachgemäßen Validierung der vom Benutzer bereitgestellten Zeichenfolgen während der CGI-Anforderungsverarbeitung willkürlichen Code auszuführen, was möglicherweise die Systemintegrität beeinträchtigt.
Sicherheit bleibt bei allen Softwareplattformen ein vorrangiges Anliegen.
Hervorgehobener Bildnachweis: Kerem Gülen/Midjourney