Apache vừa phát hành bản cập nhật bảo mật quan trọng nhằm khắc phục lỗ hổng trên máy chủ web Tomcat, có khả năng cho phép kẻ tấn công thực hiện remote code execution (RCE – thực thi mã từ xa).
Apache Tomcat là một máy chủ web mã nguồn mở và bộ chứa servlet, được sử dụng rộng rãi để triển khai và chạy các ứng dụng web dựa trên Java. Sản phẩm này được các doanh nghiệp lớn ưa chuộng để vận hành các ứng dụng web tùy chỉnh, các nhà cung cấp SaaS sử dụng làm nền tảng cho dịch vụ backend.
Ngoài ra, các dịch vụ đám mây, hosting cũng tích hợp Tomcat để lưu trữ ứng dụng, và các nhà phát triển phần mềm thường sử dụng nó để xây dựng, kiểm thử, và triển khai ứng dụng web.
Lỗ hổng được khắc phục trong phiên bản mới có mã CVE-2024-56337. Đây là bản vá hoàn chỉnh cho lỗ hổng nghiêm trọng CVE-2024-50379 đã được Apache vá một phần vào ngày 17 tháng 12 năm 2024.
Lỗ hổng này là một lỗi time-of-check time-of-use (TOCTOU) xảy ra trên các hệ thống có chế độ ghi servlet mặc định bật (readonly=false) và chạy trên hệ thống tệp không phân biệt chữ hoa chữ thường.
Các phiên bản bị ảnh hưởng bao gồm:
- Tomcat 11.0.0-M1 đến 11.0.1
- Tomcat 10.1.0-M1 đến 10.1.33
- Tomcat 9.0.0.M1 đến 9.0.97
Người dùng được khuyến nghị nâng cấp lên các bản mới nhất: 11.0.2, 10.1.34, và 9.0.98. Ngoài việc nâng cấp, người dùng cần thực hiện các bước sau tùy theo phiên bản Java đang sử dụng:
- Với Java 8 hoặc 11: Đặt thuộc tính hệ thống sun.io.useCanonCaches thành false (giá trị mặc định là true).
- Với Java 17: Đảm bảo thuộc tính sun.io.useCanonCaches, nếu có, được cấu hình là false (giá trị mặc định là false).
- Với Java 21 trở lên: Không cần cấu hình, vì thuộc tính này và bộ nhớ đệm liên quan đã bị loại bỏ.
Các phiên bản Tomcat sắp tới sẽ tự động kiểm tra cấu hình này để giảm nguy cơ khai thác.
Nguồn: Bleeping Computer