459/67 (IT) ประจำวันพฤหัสบดีที่ 26 ธันวาคม 2567
Apache Software Foundation (ASF) ได้แก้ไขช่องโหว่ที่สำคัญในซอฟต์แวร์เซิร์ฟเวอร์ Tomcat ที่หมายเลข CVE-2024-56337 นักวิจัยเตือนว่าอาจถูกโจมตีเพื่อรันโค้ดจากระยะไกล (Remote Code Execution) ได้ภายใต้เงื่อนไขบางประการ ซึ่ง Apache Tomcat เป็นซอฟต์แวร์โอเพ่นซอร์สที่รองรับการใช้งาน Java Servlet, JavaServer Pages (JSP), Jakarta Expression Language และ WebSocket ที่พัฒนาโดย Apache Software Foundation และเป็นที่นิยมสำหรับการรันแอปพลิเคชันเว็บที่ใช้ Java โดยช่องโหว่ดังกล่าวเกิดจากปัญหา TOCTOU Race Condition ใน Tomcat ที่ส่งผลกระทบต่อเวอร์ชัน 11.0.0-M1 ถึง 11.0.1, 10.1.0-M1 ถึง 10.1.33 และ 9.0.0.M1 ถึง 9.0.97 และนอกจากนี้ และช่องโหว่นี้ยังเชื่อมโยงกับการแก้ไขปัญหาที่ไม่สมบูรณ์สำหรับ CVE-2024-50379 (คะแนน CVSS: 9.8) โดยการตั้งค่าที่จำเป็นเพื่อปิดช่องโหว่ CVE-2024-50379 มีดังนี้:
– Java 8/11: ตั้งค่า sun.io.useCanonCaches เป็น false (ค่าเริ่มต้นคือ true)
– Java 17: ตรวจสอบให้แน่ใจว่า sun.io.useCanonCaches เป็น false (ค่าเริ่มต้นคือ false)
– Java 21+: ไม่ต้องตั้งค่าใด ๆ (คุณสมบัตินี้ถูกลบออกแล้ว)
ตั้งแต่ Tomcat เวอร์ชัน 11.0.3, 10.1.35 และ 9.0.99 เป็นต้นไป จะมีการตรวจสอบการตั้งค่าที่เหมาะสมของ sun.io.useCanonCaches โดยอัตโนมัติ
ช่องโหว่นี้ถูกค้นพบจากนักวิจัยด้านความปลอดภัย ได้แก่ Nacl, WHOAMI, Yemoli และ Ruozhi โดย Dawu และ Sunflower จากทีม KnownSec 404 ได้รายงานช่องโหว่นี้เพิ่มเติม พร้อมนำเสนอหลักฐานการโจมตีอย่างละเอียด (Proof-of-Concept) และผู้ใช้งานควรรีบอัปเดตซอฟต์แวร์ Tomcat เป็นเวอร์ชันที่แก้ไขแล้ว เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นจากช่องโหว่นี้
แหล่งข่าว https://securityaffairs.com/172273/security/apache-foundation-fixed-tomcat-flaw.html
