Apache Tomcat es un servidor web HTTP Java puro que se ha convertido en un pilar fundamental en la comunidad de código abierto de Java. Su eficiencia y robustez lo han posicionado como el motor de numerosas aplicaciones web destacadas, incluyendo plataformas populares como WordPress, Drupal y Jira. Sin embargo, incluso las tecnologías más sólidas pueden enfrentar desafíos de seguridad.
Descripción de las Vulnerabilidades
Recientemente, se han identificado tres vulnerabilidades de seguridad en Apache Tomcat que plantean preocupaciones significativas.
CVE-2023-42794 (Severidad: Baja) – Denegación de Servicio:
Esta vulnerabilidad radica en una falla de la función fork presente en los Commons FileUpload. En sistemas Windows, una aplicación web podría no cerrar correctamente una secuencia para un archivo cargado, lo que provocaría que el archivo permaneciera anclado al disco y consuma espacio de almacenamiento de manera gradual. Este comportamiento eventualmente podría provocar una denegación de servicio al llenar completamente el espacio de almacenamiento en disco.
Versiones Afectadas:
– Apache Tomcat 9.0.70 a 9.0.80
– Apache Tomcat 8.5.85 a 8.5.93
CVE-2023-45648 (Severidad: Alta) – Request Smuggling:
Esta vulnerabilidad se presenta en el manejo de encabezados HTTP Trailer, colección de un tipo especial de encabezados HTTP que permite al remitente incluir campos adicionales al final de los mensajes fragmentados para proporcionar metadatos que podrían generarse dinámicamente mientras se envía el cuerpo del mensaje, por parte de Tomcat.
Un error de análisis puede permitir que un encabezado HTTP Trailer maliciosamente diseñado haga que Tomcat interprete una sola solicitud como múltiples. Esta vulnerabilidad es particularmente peligrosa cuando se encuentra detrás de un proxy inverso, ya que allana el camino para el Request Smuggling.
CVE-2023-42795 (Severidad: Alta) – Divulgación de Información:
En un intento de optimizar el rendimiento mediante el reciclaje de objetos internos, Tomcat cometió un error que puede provocar la fuga de información. En determinados escenarios, el sistema puede omitir inadvertidamente partes del proceso de reciclaje, lo que permite que la información de una solicitud request/response se filtre a la siguiente de manera inadvertida.
Versiones Afectadas:
– Apache Tomcat 11.0.0-M1 a 11.0.0-M11
– Apache Tomcat 10.1.0-M1 a 10.1.13
– Apache Tomcat 9.0.0-M1 a 9.0.80
– Apache Tomcat 8.5.0 a 8.5.93
Soluciones:
1. Para CVE-2023-42794:
– Actualizar a Apache Tomcat 9.0.81 u 8.5.94 para corregir esta vulnerabilidad.
2. Para CVE-2023-45648 y CVE-2023-42795:
– Actualizar a Apache Tomcat 11.0.0-M12, 10.1.14, 9.0.81 u 8.5.94 para corregir estas vulnerabilidades.
Recomendaciones:
Implementar las actualizaciones de seguridad lo antes posible para mitigar los riesgos potenciales.
Referencias:
- https://securityonline.info/cve-2023-45648-cve-2023-42795-two-high-severity-flaws-in-apache-tomcat/?expand_article=1#google_vignette
- https://lists.apache.org/thread/vvbr2ms7lockj1hlhz5q3wmxb2mwcw82
- https://lists.apache.org/thread/065jfyo583490r9j2v73nhpyxdob56lw
- https://lists.apache.org/thread/2pv8yz1pyp088tsxfb7ogltk9msk0jdp
- https://nvd.nist.gov/vuln/detail/CVE-2023-42794
- https://nvd.nist.gov/vuln/detail/CVE-2023-45648
- https://nvd.nist.gov/vuln/detail/CVE-2023-42795