Apache Software Foundation ha publicado actualizaciones de seguridad críticas para abordar dos vulnerabilidades importantes que afectan a Apache Tomcat, un contenedor de servlets ampliamente utilizado para aplicaciones basadas en Java. Estas vulnerabilidades, relacionadas con la ejecución remota de código (RCE) y la denegación de servicio (DoS), pueden comprometer la seguridad y disponibilidad de los sistemas afectados.
- CVE-2024-50379 – (CVSS: 9.8): Condición de carrera de tiempo de verificación y tiempo de uso (TOCTOU). Esta vulnerabilidad, derivada de una condición de carrera de tiempo de verificación y tiempo de uso (TOCTOU), afecta al “servlet” por defecto de Apache Tomcat. Puede ser explotada cuando el “servlet” permite acceso de escritura y el sistema de archivos subyacente no diferencia entre mayúsculas y minúsculas. Un atacante podría subir archivos maliciosos disfrazados como legítimos, resultando en la ejecución remota de código (RCE).
- CVE-2024-54677 – (CVSS: 5.3): Consumo descontrolado de recursos. Esta vulnerabilidad de denegación de servicio (DoS) afecta la aplicación web “examples” incluida en Apache Tomcat. Un atacante remoto puede explotar una debilidad en la gestión de solicitudes HTTP/2, generando una sobrecarga del sistema y afectando la disponibilidad del servidor mediante un alto volumen de solicitudes especialmente diseñadas.
| CVE | Productos afectados | Versiones afectadas | Solución |
| CVE-2024-50379 | Apache Tomcat. | Versión 11.0.0-M1 hasta la 11.0.1. Versión 10.1.0-M1 hasta la 10.1.33. Versión 9.0.0-M1 hasta la 9.0.97. | Actualizar a 11.0.2 o versiones posteriores. Actualizar a 10.1.34 o versiones posteriores. Actualizar a 9.0.98 o versiones posteriores |
| CVE-2024-54677 |
Recomendaciones:
- Actualizar las versiones de Apache Tomcat afectadas a las más recientes disponibles.
- Configurar adecuadamente los permisos de acceso en el servlet por defecto para minimizar el riesgo.
- Monitorear los servidores Tomcat para detectar y prevenir intentos de explotación.
Referencias: