CRITICAL✓ PATCH🇬🇧 English

CVE-2024-56337

Apache Tomcat: niekompletna mitygacja TOCTOU Race Condition (CVE-2024-50379)

CVSS 9.8v3.1pub. 2024-12-20upd. 2025-11-03

Podatność typu Time-of-check Time-of-use (TOCTOU) Race Condition w Apache Tomcat stanowi niekompletną naprawę wcześniejszej podatności CVE-2024-50379. Krytyczny poziom zagrożenia (CVSS 9.8) wynika z możliwości zdalnego, nieuwierzytelnionego ataku bez jakiejkolwiek interakcji użytkownika.

Pokaż oryginał (EN)

Time-of-check Time-of-use (TOCTOU) Race Condition vulnerability in Apache Tomcat. This issue affects Apache Tomcat: from 11.0.0-M1 through 11.0.1, from 10.1.0-M1 through 10.1.33, from 9.0.0.M1 through 9.0.97. The following versions were EOL at the time the CVE was created but are known to be affected: 8.5.0 though 8.5.100. Other, older, EOL versions may also be affected. The mitigation for CVE-2024-50379 was incomplete. Users running Tomcat on a case insensitive file system with the default servlet write enabled (readonly initialisation parameter set to the non-default value of false) may need additional configuration to fully mitigate CVE-2024-50379 depending on which version of Java they are using with Tomcat: - running on Java 8 or Java 11: the system property sun.io.useCanonCaches must be explicitly set to false (it defaults to true) - running on Java 17: the system property sun.io.useCanonCaches, if set, must be set to false (it defaults to false) - running on Java 21 onwards: no further configuration is required (the system property and the problematic cache have been removed) Tomcat 11.0.3, 10.1.35 and 9.0.99 onwards will include checks that sun.io.useCanonCaches is set appropriately before allowing the default servlet to be write enabled on a case insensitive file system. Tomcat will also set sun.io.useCanonCaches to false by default where it can.

🤖 Analiza AI
Jak działa

Podatność dotyczy systemów, na których Apache Tomcat działa na systemie plików nierozróżniającym wielkości liter (case insensitive), a domyślny servlet ma włączony tryb zapisu (parametr inicjalizacyjny 'readonly' ustawiony na 'false'). W takich konfiguracjach, w zależności od wersji Java, systemowa właściwość 'sun.io.useCanonCaches' może powodować błędne buforowanie kanonicznych ścieżek plików, co otwiera okno wyścigu między momentem weryfikacji dostępu a momentem faktycznego użycia zasobu. Atakujący może w tym oknie czasowym podstawić złośliwy zasób i przełamać mechanizmy kontroli dostępu. Mitygacja zastosowana dla CVE-2024-50379 okazała się niewystarczająca bez dodatkowej konfiguracji właściwości JVM.

Skutki

Skuteczne wykorzystanie podatności może umożliwić atakującemu zdalne wykonanie kodu (RCE) lub nieautoryzowany zapis plików na serwerze, prowadząc do pełnego przejęcia kontroli nad systemem, naruszenia poufności i integralności danych oraz utraty dostępności usług.

Mitygacja

Należy zaktualizować Apache Tomcat do wersji 11.0.3, 10.1.35, 9.0.99 lub nowszych, które zawierają odpowiednie mechanizmy weryfikacji konfiguracji. Do czasu aktualizacji wymagana jest dodatkowa konfiguracja zależna od wersji Java: na Java 8 i Java 11 należy jawnie ustawić właściwość systemową 'sun.io.useCanonCaches=false' (domyślnie jest 'true'); na Java 17 należy upewnić się, że właściwość ta jest ustawiona na 'false' lub pozostawiona na wartości domyślnej ('false'); na Java 21 i nowszych żadna dodatkowa konfiguracja nie jest wymagana. Alternatywnie, jeśli nie jest wymagany tryb zapisu, należy pozostawić parametr 'readonly' na wartości domyślnej ('true').

Kogo dotyczy

Apache Tomcat w wersjach: 11.0.0-M1 do 11.0.1, 10.1.0-M1 do 10.1.33, 9.0.0.M1 do 9.0.97 oraz 8.5.0 do 8.5.100 (wersje EOL). Podatność dotyczy wyłącznie instalacji działających na systemie plików nierozróżniającym wielkości liter z włączonym trybem zapisu domyślnego serwletu. Dotknięte są również produkty NetApp Bootstrap OS oraz NetApp HCI Compute Node.

Uwagi

CVE-2024-56337 jest bezpośrednio powiązany z CVE-2024-50379 — stanowi uzupełnienie niekompletnej naprawy tamtej podatności. Wersje z gałęzi 8.5.x są oznaczone jako EOL i nie otrzymają oficjalnych patchy — użytkownicy tych wersji powinni niezwłocznie dokonać migracji do wspieranej gałęzi.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apache Tomcat

    APP
    Apache
    9.0.0 – 9.0.98 (bez)10.1.0 – 10.1.34 (bez)11.0.0 – 11.0.2 (bez)
  • Netapp Bootstrap Os

    OS
    Netapp
    wszystkie wersje
  • Netapp Hci Compute Node

    HW
    Netapp
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Race Condition
CWE
Referencje

Powiązane podatności

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych

CVE-2020-1938CRITICAL9.8⚠ KEVten sam produkt

When using the Apache JServ Protocol (AJP), care must be taken when trusting incoming connections to Apache To...

CVE-2016-8735CRITICAL9.8⚠ KEVten sam produkt

Remote code execution is possible with Apache Tomcat before 6.0.48, 7.x before 7.0.73, 8.x before 8.0.39, 8.5....

CVE-2026-53434CRITICAL9.1ten sam produkt

Detection of Error Condition Without Action vulnerability in Apache Tomcat when configuring CRLs for a FFM bas...

CVE-2026-55276CRITICAL9.1ten sam produkt

Always-Incorrect Control Flow Implementation vulnerability in Apache Tomcat meant that special roles and empty...