Apache sửa lỗi bỏ qua thực thi mã từ xa trong máy chủ web Tomcat

10:00 | 31/12/2024 | TIN TỨC SẢN PHẨM

Apache đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng quan trọng trong máy chủ web Tomcat có thể khiến kẻ tấn công thực thi mã từ xa.

Apache sửa lỗi bỏ qua thực thi mã từ xa trong máy chủ web Tomcat

Apache Tomcat là một máy chủ web mã nguồn mở và bộ chứa servlet được sử dụng rộng rãi để triển khai và chạy các ứng dụng web dựa trên Java. Nó cung cấp môi trường thời gian chạy cho các công nghệ Java Servlet, JavaServer Pages (JSP) và Java WebSocket.

Sản phẩm này phổ biến với các doanh nghiệp lớn chạy ứng dụng web tùy chỉnh, nhà cung cấp SaaS dựa vào Java cho các dịch vụ phụ trợ. Các dịch vụ lưu trữ và đám mây tích hợp Tomcat để lưu trữ ứng dụng và các nhà phát triển phần mềm sử dụng nó để xây dựng, thử nghiệm và triển khai các ứng dụng web.

Lỗ hổng được khắc phục trong bản phát hành mới có định danh là CVE-2024-56337 và giải quyết vấn đề giảm thiểu chưa hoàn chỉnh đối với CVE-2024-50379, một lỗi thực thi mã từ xa (RCE) nghiêm trọng mà nhà cung cấp đã phát hành bản vá vào ngày 17/12.

Sau khi phát hành bản cập nhật sửa lỗi CVE-2024-50379, nhóm Apache đã biết rằng biện pháp giảm thiểu chưa hoàn thiện đối với các máy khách chạy máy ảo với các phiên bản Java cũ hơn.

Cả hai mã định danh CVE đều đề cập đến cùng một lỗ hổng nhưng với CVE-2024-56337, Apache cung cấp thêm các chi tiết giảm thiểu để giải quyết hoàn toàn lỗ hổng ban đầu, nhấn mạnh rằng quản trị viên phải thực hiện một số thay đổi theo cách thủ công.

Do đó, khuyến nghị ban đầu là nâng cấp lên phiên bản Tomcat mới nhất (hiện tại là 11.0.2, 10.1.34 và 9.0.98) là không đủ để giải quyết rủi ro. Tùy thuộc vào phiên bản Java đang sử dụng, bên cạnh việc nâng cấp, người dùng cần thực hiện:

- Đối với Java 8 hoặc 11, bạn nên đặt thuộc tính hệ thống 'sun.io.useCanonCaches' thành 'false' (mặc định: true).

- Đối với Java 17, hãy đảm bảo 'sun.io.useCanonCaches', nếu được đặt, được định cấu hình thành false (mặc định: false).

- Đối với Java 21 trở lên, không cần cấu hình. Thuộc tính và bộ nhớ đệm có vấn đề đã bị xóa.

Vấn đề bảo mật là lỗ hổng bảo mật về tình trạng chạy đua thời gian kiểm tra thời gian sử dụng (TOCTOU) ảnh hưởng đến các hệ thống có bật chức năng ghi servlet mặc định (tham số khởi tạo “chỉ đọc” được đặt thành false) và chạy trên hệ thống tệp không phân biệt chữ hoa chữ thường.

Sự cố này ảnh hưởng đến Apache Tomcat 11.0.0-M1 đến 11.0.1, 10.1.0-M1 đến 10.1.33 và 9.0.0.M1 đến 9.0.97.

Nhóm Apache đã chia sẻ kế hoạch cải tiến bảo mật trong các phiên bản sắp tới của Tomcat, 11.0.3, 10.1.35 và 9.0.99.

Cụ thể, Tomcat sẽ kiểm tra xem 'sun.io.useCanonCaches' đã được thiết lập chính xác chưa trước khi kích hoạt quyền ghi cho servlet mặc định trên các hệ thống tệp không phân biệt chữ hoa chữ thường và sẽ mặc định 'sun.io.useCanonCaches' thành false khi có thể.

Những thay đổi này nhằm mục đích tự động áp dụng các cấu hình an toàn hơn và giảm nguy cơ khai thác CVE-2024-50379 và CVE-2024-56337.

Hà Phương

‹ › ×

Tin liên quan

Lỗ hổng thực thi mã từ xa trong Chipset MediaTek ảnh hưởng đến hàng triệu người dùng

12:00 | 14/01/2025

Đầu tháng 01/2025, MediaTek đã thông báo một loạt các lỗ hổng bảo mật ảnh hưởng đến các chipset của hãng, bao gồm các sản phẩm từ điện thoại thông minh, máy tính bảng cho đến các thiết bị IoT và TV thông minh.

CISA cảnh báo lỗ hổng nghiêm trọng trong Windows Kernel và Adobe ColdFusion

12:00 | 23/12/2024

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) vừa cảnh báo về hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Windows Kernel và Adobe ColdFusion, với mã định danh là CVE-2024-35250 và CVE-2024-20767.

Phát hiện 3 lỗ hổng bảo mật nghiêm trọng trong Apache Ambari

10:00 | 17/02/2025

Apache Software Foundation (Hoa Kỳ) vừa phát hiện 3 lỗ hổng nghiêm trọng trong Apache Ambari, nền tảng phổ biến dùng để quản lý các cụm Hadoop một hệ thống mã nguồn mở để lưu trữ và xử lý dữ liệu lớn trên các cụm máy tính phân tán. Những lỗ hổng này có thể khiến hệ thống dễ bị tấn công thực thi mã từ xa và rò rỉ dữ liệu nhạy cảm.

Apache OFBiz vá lỗ hổng nghiêm trọng cho phép thực thi mã từ xa

14:00 | 11/09/2024

Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.

Lỗ hổng nghiêm trọng trong Apache Ignite cho phép thực thi mã từ xa

14:00 | 04/03/2025

Mới đây, một lỗ hổng có mã định danh CVE-2024-52577 có khả năng thực thi mã từ xa đã được phát hiện trong Apache Ignite, một cơ sở dữ liệu phân tán mã nguồn mở phổ biến dành cho điện toán hiệu năng cao.

Lỗ hổng CVE-2025-1240 trong WinZip cho phép kẻ tấn công thực thi mã tùy ý

08:00 | 21/02/2025

Một lỗ hổng định danh CVE-2025-1240 với điểm CVSS 7,8 được phát hiện trong phần mềm giải nén Winzip có khả năng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Đây là một lỗ hổng Out-Of-Bound Write cho phép ghi ngoài vùng nhớ được cấp phát của chương trình.

Các lỗ hổng nghiêm trọng trong hệ thống in CUPS Linux có thể cho phép thực thi lệnh từ xa

09:00 | 11/10/2024

Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.

Lỗ hổng nghiêm trọng ảnh hưởng tới người dùng Apache Fineract

09:00 | 24/02/2025

Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-32838 có đểm CVSS 9,4 được phát hiện trong Apache Fineract, nền tảng mã nguồn mở phổ biến được sử dụng để xây dựng hệ thống ngân hàng lõi cho các dịch vụ tài chính số.

Tin cùng chuyên mục

Elastic vá lỗ hổng cho phép thực thi mã từ xa trong Kibana

11:00 | 11/03/2025

Elastic đã phát hành bản vá cho một lỗ hổng bảo mật nghiêm trọng có thể dẫn đến thực thi mã tùy ý, ảnh hưởng đến phần mềm bảng điều khiển trực quan hóa dữ liệu Kibana của Elasticsearch - công cụ tìm kiếm và phân tích dữ liệu mã nguồn mở phổ biến.

Juniper Networks phát hành bản vá cho lỗ hổng bảo mật nghiêm trọng

15:00 | 06/03/2025

Juniper Networks đã phát hành bản vá cho một lỗ hổng nghiêm trọng vượt qua xác thực trong các sản phẩm Session Smart Router, Session Smart Conductor và WAN Assurance Managed Router.

Chatbot AI DeepSeek gây lo ngại tới an ninh các quốc gia

09:00 | 27/02/2025

Chatbot AI DeepSeek của Trung Quốc đã làm đảo lộn ngành công nghiệp toàn cầu và xóa sổ hàng tỷ đô la khỏi các cổ phiếu công nghệ của Hoa Kỳ khi công bố chương trình phiên bản R1, được cho là được xây dựng trên các chất bán dẫn Nvidia giá rẻ và kém tinh vi hơn. Nhưng các chính phủ từ Rome đến Seoul đều có biện pháp cứng rắn với ứng dụng này của Trung Quốc, với lý do họ cần ngăn chặn nguy cơ rò rỉ thông tin nhạy cảm thông qua các dịch vụ AI tạo ra.

TP-Link đối mặt với lệnh cấm tại Mỹ

10:00 | 24/12/2024

Nguồn tin của Wall Street Journal cho biết, chính quyền của Tổng thống đắc cử Donald Trump có thể ban hành lệnh cấm bán thiết bị TP-Link tại Mỹ ngay trong năm 2025.