Уязвимость сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса в результате отсутствия учета регистра в файловой системе при записи сервлетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Использование рекомендаций:
https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbp
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html
После установки обновлений пользователям необходимо внести изменения в настройки в зависимости от версии Java:
Для Java 8 и Java 11: установить системное свойство sun.io.useCanonCaches в значение false (по умолчанию — true).
Для Java 17: проверить, что свойство sun.io.useCanonCaches отключено (по умолчанию оно уже отключено).
Для Java 21 и новее: дополнительных действий не требуется, так как данное свойство уже было удалено.
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-tomcat-cve-2024-56337/?sphrase_id=756632
Для Libercat Certified:
Обновление ПО до актуальной версии
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
| Балл | 4 — средняя опасность |