ГлавнаяБаза уязвимостей БДУ → BDU:2024-11586
4средняя

BDU:2024-11586 (CVE-2024-56337)

Уязвимость сервера приложений Apache Tomcat, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-12-25
Описание

Уязвимость сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса в результате отсутствия учета регистра в файловой системе при записи сервлетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)АЛЬТ СП 10Tomcat (от 11.0.0-M1 до 11.0.1 включительно)Tomcat (от 10.1.0-M1 до 10.1.33 включительно)Tomcat (от 9.0.0.M1 до 9.0.97 включительно)Libercat Certified (до 9.0.107-1)Libercat Certified (до 10.1.43-1)
Способ устранения

Использование рекомендаций:
https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbp
https://tomcat.apache.org/security-11.html
https://tomcat.apache.org/security-10.html
https://tomcat.apache.org/security-9.html

После установки обновлений пользователям необходимо внести изменения в настройки в зависимости от версии Java:
Для Java 8 и Java 11: установить системное свойство sun.io.useCanonCaches в значение false (по умолчанию — true).
Для Java 17: проверить, что свойство sun.io.useCanonCaches отключено (по умолчанию оно уже отключено).
Для Java 21 и новее: дополнительных действий не требуется, так как данное свойство уже было удалено.

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-tomcat-cve-2024-56337/?sphrase_id=756632

Для Libercat Certified:
Обновление ПО до актуальной версии

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Оценка CVSS
Балл4 — средняя опасность
Источники и патчи
https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbphttps://www.securitylab.ru/news/555055.phphttps://vuldb.com/?id.289101https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-tomcat-cve-2024-56337/?sphrase_id=756632https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена