Apache Yazılım Vakfı (ASF), Tomcat sunucu yazılımında belirli koşullar altında uzaktan kod yürütülmesine (RCE) neden olabilecek önemli bir güvenlik açığını gidermek için bir güvenlik güncellemesi yayınladı.
CVE-2024-56337 olarak takip edilen güvenlik açığı, daha önce 17 Aralık 2024’te ele alınan, aynı üründeki bir başka kritik güvenlik açığı olan CVE-2024-50379’a (CVSS puanı: 9,8) yönelik eksik bir hafifletme olarak tanımlandı.
“Tomcat’i, varsayılan sunucu uygulaması yazma özelliği etkinleştirilmiş (salt okunur başlatma parametresi varsayılan olmayan false değerine ayarlı) büyük/küçük harfe duyarlı olmayan bir dosya sisteminde çalıştıran kullanıcılar, hangi Java sürümüne bağlı olduklarına bağlı olarak CVE-2024-50379’u tamamen hafifletmek için ek yapılandırmaya ihtiyaç duyabilir Proje sahipleri geçen hafta bir danışma belgesinde “Tomcat ile birlikte kullanıyorum” dedi.
Her iki kusur da, varsayılan sunucu uygulaması yazma için etkinleştirildiğinde büyük/küçük harfe duyarlı olmayan dosya sistemlerinde kod yürütülmesine neden olabilecek Kontrol Zamanı Kullanım Süresi (TOCTOU) yarış koşulu güvenlik açıklarıdır.
Apache, CVE-2024-50379 uyarısında “Aynı dosyanın yükü altında eşzamanlı okuma ve yükleme, Tomcat’in büyük/küçük harf duyarlılığı kontrollerini atlayabilir ve yüklenen dosyanın JSP olarak değerlendirilmesine ve dolayısıyla uzaktan kod yürütülmesine neden olabilir” dedi.
CVE-2024-56337, Apache Tomcat’in aşağıdaki sürümlerini etkiliyor:
- Apache Tomcat 11.0.0-M1 – 11.0.1 (11.0.2 veya sonraki sürümlerde düzeltildi)
- Apache Tomcat 10.1.0-M1 – 10.1.33 (10.1.34 veya sonraki sürümlerde düzeltildi)
- Apache Tomcat 9.0.0.M1 – 9.0.97 (9.0.98 veya sonrasında düzeltildi)
Ek olarak, kullanıcıların çalıştırılmakta olan Java sürümüne bağlı olarak aşağıdaki yapılandırma değişikliklerini yapması gerekir:
- Java 8 veya Java 11 – Sun.io.useCanonCaches sistem özelliğini açıkça false olarak ayarlayın (varsayılan olarak true’dur)
- Java 17 – Sun.io.useCanonCaches sistem özelliğini false olarak ayarlayın (eğer önceden ayarlanmışsa) (varsayılan olarak false’tur)
- Java 21 ve üzeri – Sistem özelliği kaldırıldığı için herhangi bir işlem yapılmasına gerek yoktur
ASF, her iki eksikliği de tespit edip bildirdikleri için güvenlik araştırmacıları Nacl, WHOAMI, Yemoli ve Ruozhi’ye itibar etti. Ayrıca KnownSec 404 Ekibinin CVE-2024-56337’yi kavram kanıtlama (PoC) koduyla bağımsız olarak raporladığı için de takdir edildi.
Açıklama, Zero Day Initiative’in (ZDI), Webmin’de kimliği doğrulanmış uzak saldırganların rastgele kod yürütmesine izin veren kritik bir hatanın (CVE-2024-12828, CVSS puanı: 9,9) ayrıntılarını paylaşmasıyla geldi.
ZDI, “CGI isteklerinin işlenmesinde belirli bir kusur var” dedi. “Sorun, kullanıcı tarafından sağlanan bir dizenin, bir sistem çağrısını yürütmek için kullanılmadan önce uygun şekilde doğrulanmamasından kaynaklanıyor. Bir saldırgan, kök bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”