Il 24 dicembre 2024, la Apache Software Foundation (ASF) ha rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità critica nel software del server Tomcat che potrebbe consentire l'esecuzione di codice remoto (RCE) in determinate condizioni. La vulnerabilità, identificata come CVE-2024-56337, è stata descritta come una mitigazione incompleta per un'altra vulnerabilità critica, CVE-2024-50379, che era stata precedentemente risolta il 17 dicembre 2024.

La vulnerabilità CVE-2024-56337 è una condizione di gara Time-of-check Time-of-use (TOCTOU) che potrebbe portare all'esecuzione di codice su file system non sensibili alle maiuscole e minuscole quando il servlet di default è abilitato per la scrittura. Nello specifico, la lettura e l'upload simultanei dello stesso file sotto carico possono bypassare i controlli di sensibilità di Tomcat e far sì che un file caricato venga trattato come un JSP, portando all'esecuzione di codice remoto.

Le versioni di Apache Tomcat colpite dalla CVE-2024-56337 includono:

• Apache Tomcat 11.0.0-M1 fino alla 11.0.1 (risolto nella 11.0.2 o versioni successive)
• Apache Tomcat 10.1.0-M1 fino alla 10.1.33 (risolto nella 10.1.34 o versioni successive)
• Apache Tomcat 9.0.0.M1 fino alla 9.0.97 (risolto nella 9.0.98 o versioni successive)

Per mitigare completamente la vulnerabilità, gli utenti devono apportare modifiche alla configurazione a seconda della versione di Java in uso. Per Java 8 o Java 11, è necessario impostare esplicitamente la proprietà di sistema sun.io.useCanonCaches su false. Per Java 17, la stessa proprietà deve essere impostata su false se non è già impostata, mentre per Java 21 e versioni successive, non è richiesta alcuna azione poiché la proprietà di sistema è stata rimossa.

L'ASF ha riconosciuto il contributo di diversi ricercatori di sicurezza per l'identificazione e la segnalazione delle vulnerabilità, tra cui Nacl, WHOAMI, Yemoli e Ruozhi, e ha ringraziato anche il KnownSec 404 Team per aver segnalato indipendentemente la CVE-2024-56337 con un codice proof-of-concept (PoC).

La divulgazione della vulnerabilità di Tomcat arriva in concomitanza con la pubblicazione da parte della Zero Day Initiative (ZDI) dei dettagli su un'altra vulnerabilità critica in Webmin (CVE-2024-12828) che consente ad attaccanti remoti autenticati di eseguire codice arbitrario a causa di una convalida inadeguata di una stringa fornita dall'utente prima di utilizzarla per eseguire una chiamata di sistema.