[Actualización 02/01/2025] Ejecución remota de código en Apache Tomcat
Apache Tomcat, versiones:
- desde 11.0.0-M1 hasta 11.0.1;
- desde 10.1.0-M1 hasta 10.1.33;
- desde 9.0.0.M1 hasta 9.0.97.
Nacl, WHOAMI, Yemoli y Ruozhi han descubierto una vulnerabilidad de severidad crítica en Apache Tomcat que podría permitir la ejecución remota de código.
Actualizar a las siguientes versiones de Apache Tomcat:
- 11.0.2 o posterior.
- 10.1.34 o posterior.
- 9.0.98 o posterior.
[Actualización 02/01/2025]
- Java 8 u 11: la propiedad del sistema sun.io.useCanonCaches debe establecerse explícitamente en false (por defecto es true).
- Java 17: la propiedad del sistema sun.io.useCanonCaches, si está establecida, debe ser false (por defecto es false).
- Java 21 y posteriores: no es necesaria ninguna configuración adicional (se han eliminado la propiedad del sistema y la caché problemática).
La vulnerabilidad de severidad crítica podría permitir una ejecución remota de código (RCE) si el servlet predeterminado está habilitado para escritura (el parámetro de solo lectura readonly inicialmente está configurado como falso, el cual no es su valor por defecto) para un sistema de ficheros que no distinga entre mayúsculas y minúsculas (case sensitive). Una lectura y subida simultáneas del mismo fichero podría omitir las verificaciones de distinción entre mayúsculas y minúsculas de Tomcat y hacer que el archivo cargado sea tratado como un JSP, lo que permitiría la ejecución remota de código. Se ha asignado el identificador CVE-2024-50379 para esta vulnerabilidad.
