1. Tổng quan và phân tích
Apache Tomcat vừa công bố bản vá cho hai lỗ hổng CVE-2024-50379 và CVE-2024-54677, khai thác thành công có thể cho phép tác nhân đe dọa tải lên tệp JSP trên máy chủ, từ đó thực thi câu lệnh từ xa (RCE).
Theo tài liệu bảo mật của Apache Tomcat, có thể tóm tắt hai lỗ hổng như sau:
- CVE-2024-50379 – RCE via write-enabled default servlet: Lỗ hổng mức độ nghiêm trọng IMPORTANT, liên quan đến lỗi Race Condition Time-of-check Time-of-use (TOCTOU) trong quá trình biên dịch JSP trong Apache Tomcat cho phép RCE trên hệ thống servlet. Nếu hệ thống servlet mặc định được kích hoạt ghi, không phân biệt chữ hoa chữ thường, việc đọc và tải lên đồng thời (concurrent) dưới tải của cùng một tập tin có thể bypass việc kiểm tra, từ đó tải lên tệp JSP độc hại dẫn đến RCE.
- CVE-2024-54677 – DoS in examples web application: Là lỗ hổng mức độ nghiêm trọng THẤP, liên quan đến lỗi Tiêu thụ tài nguyên không kiểm soát (Uncontrolled Resource Consumption) trong ứng dụng web có thể dẫn đến tình trạng từ chối dịch vụ (Denail of service). Việc không đặt giới hạn trên dữ liệu được tải lên cho phép kích hoạt OutOfMemoryError.
2. Ảnh hưởng và giảm thiểu rủi ro
Apache Software Foundation đã phát hành các phiên bản mới, bao gồm bản vá cho lỗ hổng này, cụ thể như sau:
| STT | Tên Ứng dụng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | Apache Tomcat | 11.0.0 – M1 to 11.0.1 | >= 11.0.2 |
| 10.1.0 to M1 | >= 10.1.34 | ||
| 9.0.0.M1 to 9.0.97 | >= 9.0.98 |
