Apache แก้ไขช่องโหว่ Remote Code Execution บน Tomcat Web Server

Apache ออกอัปเดตความปลอดภัยแก้ไขช่องโหว่สำคัญใน Tomcat ที่อาจถูกใช้ในการรันโค้ดจากระยะไกล พร้อมแนะนำการตั้งค่าเพิ่มเติมสำหรับการป้องกัน

Apache ได้ออกอัปเดตความปลอดภัยล่าสุดเพื่อแก้ไขช่องโหว่สำคัญใน Apache Tomcat Web Server ที่มีรหัส CVE-2024-56337 ซึ่งเป็นการแก้ไขเพิ่มเติมจากช่องโหว่ CVE-2024-50379 ที่เพิ่งได้รับการแพตช์เมื่อวันที่ 17 ธันวาคมที่ผ่านมา โดยช่องโหว่นี้เป็นปัญหาประเภท Time-of-check Time-of-use (TOCTOU) Race Condition ที่อาจส่งผลให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลได้

ช่องโหว่นี้ส่งผลกระทบต่อระบบที่เปิดใช้งาน Default Servlet Write (ตั้งค่า ‘readonly’ เป็น false) และทำงานบนระบบไฟล์แบบไม่คำนึงถึงตัวพิมพ์ใหญ่-เล็ก โดยมีผลต่อ Apache Tomcat เวอร์ชัน 11.0.0-M1 ถึง 11.0.1, 10.1.0-M1 ถึง 10.1.33 และ 9.0.0.M1 ถึง 9.0.97 ทาง Apache แนะนำให้ผู้ใช้งานอัปเกรดเป็นเวอร์ชันล่าสุดคือ 11.0.2, 10.1.34 หรือ 9.0.98 พร้อมทั้งทำการตั้งค่าเพิ่มเติมตามเวอร์ชัน Java ที่ใช้งาน เช่น การตั้งค่า ‘sun.io.useCanonCaches’ เป็น false สำหรับ Java 8 และ 11

Apache ได้เปิดเผยแผนการปรับปรุงความปลอดภัยในเวอร์ชันที่จะออกในอนาคต (11.0.3, 10.1.35 และ 9.0.99) โดยจะเพิ่มการตรวจสอบการตั้งค่า ‘sun.io.useCanonCaches’ ก่อนเปิดใช้งาน Write Access สำหรับ Default Servlet บนระบบไฟล์แบบไม่คำนึงถึงตัวพิมพ์ใหญ่-เล็ก และจะตั้งค่าเริ่มต้นของ ‘sun.io.useCanonCaches’ เป็น false เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ดังกล่าว

ที่มา: https://www.bleepingcomputer.com/news/security/apache-fixes-remote-code-execution-bypass-in-tomcat-web-server/