CVE-2024-56337: Apache Tomcat Patches Critical RCE Vulnerability
2024/12/22 SecurityOnline — Apache Tomcat が発表したのは、リモート・コード実行 (RCE) 脆弱性 CVE-2024-56337 に対処する、セキュリティ・アップデートのリリースである。この脆弱性の影響の範囲は、Tomcat 11.0.0-M1〜11.0.1/10.1.0-M1〜10.1.33/9.0.0.M1〜9.0.97 などの、各種バージョンに及ぶ。
脆弱性 CVE-2024-56337 の原因は、Apache Tomcat の別の RCE 脆弱性 CVE-2024-50379 に対する不完全な緩和策にある。この脆弱性の悪用が可能になるのは、大文字/小文字を区別しないファイル・システム上で、Tomcat デフォルト・サーブレットで書き込み機能が有効化されているケースである。悪用に成功した攻撃者は、特定のパスを操作することで、セキュリティ対策を回避する可能性を得る。そして、有害な JSP コードを取り込んだファイルをアップロードし、最終的にはリモート・コード実行へとつなげる可能性を手にする。
この脆弱性に対して最も脆弱になるのは、Apache Tomcat の脆弱性を持つバージョンが実行される、大文字/小文字を区別しないファイル・システム上で、デフォルト・サーブレットの書き込み機能が有効化されている環境となる。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステムを完全に制御する可能性を手にするため、きわめて重大な脅威になり得る。
脆弱性 CVE-2024-56337 は、研究者である Nacl/WHOAMI/Yemoli/Ruozhi たちにより発見/報告された。また、Dawu と Sunflower などが所属する Knownsec 404 チームから、Apache Software Foundation へと、詳細な PoC が提供されている。
すべてのユーザーに対して Apache Software Foundation が推奨するのは、Tomcat を最新バージョン(11.0.2/10.1.34/9.0.98 以降へと、速やかにアップグレードすることだ。
Tomcat で使用されている Java のバージョンに応じて、さらなる設定を行い、リスクを完全に軽減する必要性が生じる場合がある:
- Java 21 以降: 追加の措置は必要ない。
- Java 8/Java 11/Java 17:システム・プロパティの sun.io.useCanonCaches を “false” に設定する。
Apache Tomcat の脆弱性 CVE-2024-56337 が FIX しました。文中には PoC についても記載されていますが、その置き場所は、検索しても分かりませんでした。いくつかの条件が重なったときにトリガーされる脆弱性ですが、PoC の存在もあるので、ご利用のチームは、ご注意ください。よろしければ、Apache Tomcat で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.