描述:
Apache Software Foundation 發布了安全性更新,以應對 Apache Tomcat 的多個漏洞。遠端攻擊者可以通過傳送特製的請求至受影響系統,從而發動攻擊。
Apache Software Foundation 宣布最新修補程式 Apache Tomcat 9.0.98、10.1.34 及 11.0.2 中應對遠端執行程式碼漏洞 (CVE-2024-50379) 的緩解措施被發現不完全。 完全應對有關問題 (CVE-2024-56337) 的額外修補程式仍未可獲取,但 Apache Software Foundation 提供了臨時措施以減低風險。受影響系統的系統管理員應遵從下列建議,並立即採取行動以降低風險。
建議在採用解臨時措施前妥善評估影響,並諮詢產品供應商以取得相關支援。
GovCERT.HK正在密切監察有關情況,並將於可獲取額外修補程式時就有關問題發布更新。
受影響的系統:
- Apache Tomcat 11.0.0-M1 至 11.0.1
- Apache Tomcat 10.1.0-M1 至 10.1.33
- Apache Tomcat 9.0.0-M1 至 9.0.97
有關受影響系統的詳細資料,請參閱軟件供應商網站的相應安全公告。
影響:
成功利用漏洞可以在受影響的系統導致遠端執行程式碼或服務被拒絕。
建議:
Apache Software Foundation 發行了軟件的新版本以應對以上問題。用戶可從以下網址下載:
https://tomcat.apache.org/download-11.cgi#11.0.2
https://tomcat.apache.org/download-10.cgi#10.1.34
https://tomcat.apache.org/download-90.cgi#9.0.98
除了升級至 Apache Tomcat 9.0.98、10.1.34 及 11.0.2外,受影響系統的系統管理員應基於正在使用的 Java 版本作出額外設置:
- Java 8 或 Java 11
必須將系統屬性「sun.io.useCanonCaches」 設定為 「false」 (預設值為「true」)
- Java 17
如須設定系統屬性「sun.io.useCanonCaches」,必須將其設定為 「false」 (預設值為「false」)
- Java 21 或之後
不須作出任何設置 (系統屬性及存在問題的快取已被移除)
進一步資訊:
- https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.98
- https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.34
- https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.2
- https://www.hkcert.org/tc/security-bulletin/apache-tomcat-multiple-vulnerabilities_20241218
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-50379
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-54677
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-56337