Apache Tomcat là một máy chủ web mã nguồn mở và bộ chứa servlet được sử dụng rộng rãi để triển khai và chạy các ứng dụng web dựa trên Java. Nó cung cấp môi trường thời gian chạy cho các công nghệ Java Servlet, JavaServer Pages (JSP) và Java WebSocket.

Sản phẩm này phổ biến với các doanh nghiệp lớn chạy ứng dụng web tùy chỉnh, nhà cung cấp SaaS dựa vào Java cho các dịch vụ phụ trợ. Các dịch vụ lưu trữ và đám mây tích hợp Tomcat để lưu trữ ứng dụng và các nhà phát triển phần mềm sử dụng nó để xây dựng, thử nghiệm và triển khai các ứng dụng web.

Lỗ hổng được khắc phục trong bản phát hành mới có định danh là CVE-2024-56337 và giải quyết vấn đề giảm thiểu chưa hoàn chỉnh đối với CVE-2024-50379, một lỗi thực thi mã từ xa (RCE) nghiêm trọng mà nhà cung cấp đã phát hành bản vá vào ngày 17/12.

Sau khi phát hành bản cập nhật sửa lỗi CVE-2024-50379, nhóm Apache đã biết rằng biện pháp giảm thiểu chưa hoàn thiện đối với các máy khách chạy máy ảo với các phiên bản Java cũ hơn.

Cả hai mã định danh CVE đều đề cập đến cùng một lỗ hổng nhưng với CVE-2024-56337, Apache cung cấp thêm các chi tiết giảm thiểu để giải quyết hoàn toàn lỗ hổng ban đầu, nhấn mạnh rằng quản trị viên phải thực hiện một số thay đổi theo cách thủ công.

Do đó, khuyến nghị ban đầu là nâng cấp lên phiên bản Tomcat mới nhất (hiện tại là 11.0.2, 10.1.34 và 9.0.98) là không đủ để giải quyết rủi ro. Tùy thuộc vào phiên bản Java đang sử dụng, bên cạnh việc nâng cấp, người dùng cần thực hiện:

- Đối với Java 8 hoặc 11, bạn nên đặt thuộc tính hệ thống 'sun.io.useCanonCaches' thành 'false' (mặc định: true).

- Đối với Java 17, hãy đảm bảo 'sun.io.useCanonCaches', nếu được đặt, được định cấu hình thành false (mặc định: false).

- Đối với Java 21 trở lên, không cần cấu hình. Thuộc tính và bộ nhớ đệm có vấn đề đã bị xóa.

Vấn đề bảo mật là lỗ hổng bảo mật về tình trạng chạy đua thời gian kiểm tra thời gian sử dụng (TOCTOU) ảnh hưởng đến các hệ thống có bật chức năng ghi servlet mặc định (tham số khởi tạo “chỉ đọc” được đặt thành false) và chạy trên hệ thống tệp không phân biệt chữ hoa chữ thường.

Sự cố này ảnh hưởng đến Apache Tomcat 11.0.0-M1 đến 11.0.1, 10.1.0-M1 đến 10.1.33 và 9.0.0.M1 đến 9.0.97.

Nhóm Apache đã chia sẻ kế hoạch cải tiến bảo mật trong các phiên bản sắp tới của Tomcat, 11.0.3, 10.1.35 và 9.0.99.

Cụ thể, Tomcat sẽ kiểm tra xem 'sun.io.useCanonCaches' đã được thiết lập chính xác chưa trước khi kích hoạt quyền ghi cho servlet mặc định trên các hệ thống tệp không phân biệt chữ hoa chữ thường và sẽ mặc định 'sun.io.useCanonCaches' thành false khi có thể.

Những thay đổi này nhằm mục đích tự động áp dụng các cấu hình an toàn hơn và giảm nguy cơ khai thác CVE-2024-50379 và CVE-2024-56337.