Apache, Tomcat web sunucusunda bir saldırganın uzaktan kod yürütmesine yol açabilecek önemli bir güvenlik açığını gideren bir güvenlik güncellemesi yayınladı.
Apache Tomcat, Java tabanlı web uygulamalarını dağıtmak ve çalıştırmak için yaygın olarak kullanılan açık kaynaklı bir web sunucusu ve sunucu uygulaması kapsayıcısıdır. Java Servlet’ler, JavaServer Pages (JSP) ve Java WebSocket teknolojileri için bir çalışma zamanı ortamı sağlar.
Ürün, özel web uygulamaları çalıştıran büyük kuruluşlar ve arka uç hizmetleri için Java’ya güvenen SaaS sağlayıcıları arasında popülerdir. Bulut ve barındırma hizmetleri, uygulama barındırma için Tomcat’i entegre eder ve yazılım geliştiricileri bunu web uygulamaları oluşturmak, test etmek ve dağıtmak için kullanır.
Yeni sürümde düzeltilen güvenlik açığı, CVE-2024-56337 olarak izleniyor ve satıcının 17 Aralık’ta tamamlanmamış bir düzeltme eki yayımladığı kritik bir uzaktan kod yürütme (RCE) olan CVE-2024-50379’a yönelik tamamlanmamış bir hafifletmeyi ele alıyor.
Güvenlik sorunu, varsayılan sunucu uygulaması yazma özelliğinin etkin olduğu (‘salt okunur’ başlatma parametresi yanlış olarak ayarlanmış) ve büyük/küçük harfe duyarlı olmayan dosya sistemlerinde çalışan sistemleri etkileyen bir kontrol zamanı kullanım süresi (TOCTOU) yarış koşulu güvenlik açığıdır.
Sorun Apache Tomcat 11.0.0-M1 – 11.0.1, 10.1.0-M1 – 10.1.33 ve 9.0.0.M1 – 9.0.97 sürümlerini etkilemektedir.
Kullanıcılar en son Tomcat sürümlerine yükseltme yapmalıdır: 11.0.2, 10.1.34 ve 9.0.98.
Sorunu çözmek ek adımlar gerektirir. Kullanılan Java sürümüne bağlı olarak kullanıcıların yükseltmenin yanı sıra aşağıdaki eylemleri de gerçekleştirmesi gerekir:
- Java 8 veya 11 için ‘sun.io.useCanonCaches’ sistem özelliğinin ‘false’ (varsayılan: true) olarak ayarlanması önerilir.
- Java 17 için ‘sun.io.useCanonCaches’ ayarlandıysa false (varsayılan: false) olarak yapılandırıldığından emin olun.
- Java 21 ve üzeri için herhangi bir yapılandırmaya gerek yoktur. Özellik ve sorunlu önbellek kaldırıldı.
Apache ekibi, Tomcat’in gelecek sürümleri olan 11.0.3, 10.1.35 ve 9.0.99’daki güvenlik iyileştirmelerine ilişkin planları paylaştı.
Özellikle, Tomcat, büyük/küçük harfe duyarlı olmayan dosya sistemlerinde varsayılan sunucu uygulaması için yazma erişimini etkinleştirmeden önce ‘sun.io.useCanonCaches’in doğru şekilde ayarlandığını kontrol edecek ve mümkün olduğunda ‘sun.io.useCanonCaches’ varsayılanını false olarak ayarlayacaktır.
Bu değişiklikler, daha güvenli yapılandırmaları otomatik olarak zorunlu kılmayı ve CVE-2024-50379 ile CVE-2024-56337’nin kötüye kullanılması riskini azaltmayı amaçlamaktadır.