L’Apache Software Foundation (ASF) a publié une mise à jour de sécurité pour son logiciel serveur Tomcat, corrigeant une vulnérabilité critique identifiée comme CVE-2024-56337. Cette faille pourrait permettre l’exécution de code à distance (RCE) dans des conditions spécifiques. Cela affecte les versions d’Apache Tomcat de 11.0.0-M1 à 11.0.1, 10.1.0-M1 à 10.1.33 et 9.0.0.M1 à 9.0.97. Les utilisateurs sont invités à passer aux versions 11.0.2, 10.1.34 et 9.0.98 pour atténuer les risques.
Apache Software Foundation corrige une faille critique de Tomcat
Les développeurs d’ASF décrits CVE-2024-56337 comme une atténuation incomplète pour CVE-2024-50379une autre faille critique corrigée en décembre 2024 avec un score CVSS de 9,8. Les deux vulnérabilités proviennent de problèmes de condition de concurrence Time-of-check Time-of-use (TOCTOU) qui peuvent conduire à une exécution de code non autorisée sur des systèmes de fichiers insensibles à la casse lorsque le servlet par défaut est activé pour l’accès en écriture. Cela se produit lorsque les fichiers téléchargés contournent les contrôles de sensibilité à la casse de Tomcat en raison d’actions de lecture et de téléchargement simultanées.
Pour atténuer complètement ces vulnérabilités, les administrateurs doivent mettre en œuvre des modifications de configuration spécifiques en fonction de leur version Java. Pour Java 8 ou Java 11, il est nécessaire de définir la propriété système sun.io.useCanonCaches sur false, qui est par défaut true. Les utilisateurs de Java 17 doivent vérifier que cette propriété, si elle est définie, est configurée sur false ; la valeur par défaut est false. Aucune action n’est requise pour Java 21 et versions ultérieures, car la propriété système a été supprimée.
L’ASF a remercié les chercheurs en sécurité Nacl, WHOAMI, Yemoli et Ruozhi pour avoir signalé ces vulnérabilités. Ils ont également remercié l’équipe KnownSec 404 pour son rapport indépendant sur CVE-2024-56337, qui comprenait un code de preuve de concept (PoC).
Fortinet appelle à une action immédiate : une faille RCE critique expose les systèmes
Nécessité d’une action urgente concernant la sécurité de Tomcat
La divulgation du CVE-2024-56337 constitue un rappel critique pour les utilisateurs de Tomcat. Même si le premier patch de décembre visait à sécuriser le système, les analyses ultérieures ont révélé que des mesures supplémentaires étaient nécessaires pour assurer une protection complète. En conséquence, la décision de délivrer un nouvel identifiant CVE souligne la nécessité pour les administrateurs système d’agir au-delà de la simple application de correctifs.
Les vulnérabilités affectent principalement les entreprises et les fournisseurs de services utilisant Tomcat comme backend pour les applications Java. Compte tenu de l’utilisation répandue de Tomcat, l’impact de ces failles pourrait être important. L’avis invite les utilisateurs à évaluer soigneusement leurs configurations, en particulier celles qui reposent sur des systèmes de fichiers insensibles à la casse avec le servlet par défaut activé.
En réponse aux problèmes de sécurité persistants, l’ASF prévoit des améliorations qui vérifieront automatiquement la configuration de la propriété sun.io.useCanonCaches avant d’autoriser l’accès en écriture pour le servlet par défaut dans les futures versions de Tomcat. Les mises à jour attendues sont définies pour les versions 11.0.3, 10.1.35 et 9.0.99. Ces améliorations visent à réduire le risque de vulnérabilités similaires à CVE-2024-50379 et CVE-2024-56337 à l’avenir.
En parallèle, la Zero Day Initiative (ZDI) a récemment révélé une autre vulnérabilité critique, CVE-2024-12828affectant Webmin, avec un score CVSS de 9,9. Cette faille permet à des attaquants distants authentifiés d’exécuter du code arbitraire en raison d’une validation incorrecte des chaînes fournies par l’utilisateur lors du traitement des requêtes CGI, compromettant potentiellement l’intégrité du système.
La sécurité reste une préoccupation majeure sur toutes les plateformes logicielles.
Crédit image en vedette : Kerem Gülen/Milieu du voyage