Vulnerabilidad en Apache Tomcat (CVE-2024-56337)

Vulnerabilidad de condición de ejecución de tiempo de uso y tiempo de verificación (TOCTOU) en Apache Tomcat. Este problema afecta a Apache Tomcat: desde 11.0.0-M1 hasta 11.0.1, desde 10.1.0-M1 hasta 10.1.33, desde 9.0.0.M1 hasta 9.0.97. La mitigación de CVE-2024-50379 fue incompleta. Los usuarios que ejecuten Tomcat en un sistema de archivos que no distinga entre mayúsculas y minúsculas con la escritura del servlet predeterminada habilitada (el parámetro de inicialización de solo lectura establecido en el valor no predeterminado de falso) pueden necesitar una configuración adicional para mitigar por completo CVE-2024-50379 según la versión de Java que estén usando con Tomcat: - ejecutándose en Java 8 o Java 11: la propiedad del sistema sun.io.useCanonCaches debe establecerse explícitamente en falso (el valor predeterminado es verdadero) - ejecutándose en Java 17: la propiedad del sistema sun.io.useCanonCaches, si está establecida, debe establecerse en falso (el valor predeterminado es falso) - ejecutándose en Java 21 en adelante: no se requiere ninguna configuración adicional (la propiedad del sistema y el caché problemático se han eliminado) Tomcat 11.0.3, 10.1.35 y 9.0.99 en adelante incluirán comprobaciones de que sun.io.useCanonCaches esté configurado correctamente antes de permitir que el servlet predeterminado esté habilitado para escritura en un sistema de archivos que no distinga entre mayúsculas y minúsculas. Tomcat también establecerá sun.io.useCanonCaches como falso de forma predeterminada cuando sea posible.