آسیب‌پذیری CVE-2024-50379 در Apache Tomcat (RCE)

در دسامبر ۲۰۲۴، آسیب‌پذیری مهمی با شناسه CVE-2024-50379 در Apache Tomcat شناسایی شد که می‌تواند به مهاجمان اجازه دهد کد مخرب را از راه دور اجرا کنند.

این آسیب‌پذیری ناشی از یک شرایط رقابتی زمان بررسی تا زمان استفاده (TOCTOU) در حین کامپایل صفحات JSP در Apache Tomcat است. در سیستم‌های فایل حساس به حروف بزرگ و کوچک، زمانی که سرولت پیش‌فرض برای نوشتن فعال باشد (تنظیم readonly روی false)، مهاجمان می‌توانند با آپلود فایل‌های مخرب، کد دلخواه خود را اجرا کنند.

نسخه‌های تحت تأثیر:

• Apache Tomcat 11.0.0-M1 تا ۱۱.۰.۱
• Apache Tomcat 10.1.0-M1 تا ۱۰.۱.۳۳
• Apache Tomcat 9.0.0.M1 تا ۹.۰.۹۷
• راهکارهای پیشنهادی:
  • به‌روزرسانی: به نسخه‌های ۱۱.۰.۲، ۱۰.۱.۳۴ یا ۹.۰.۹۸ یا نسخه‌های بالاتر ارتقاء دهید.
  • تنظیمات Java: در صورت استفاده از Java 8 یا ۱۱، مقدار sun.io.useCanonCaches را به false تنظیم کنید. در Java 17، اگر این مقدار تنظیم شده باشد، باید false باشد. در Java 21 و بالاتر، نیازی به تنظیم نیست.
  • پیکربندی سرولت پیش‌فرض: اطمینان حاصل کنید که پارامتر readonly در سرولت پیش‌فرض روی true تنظیم شده باشد تا از نوشتن غیرمجاز جلوگیری شود.