BDU:2024-11586
Apache Software Foundation, Axiom JDK, ООО «Ред Софт» Tomcat, Libercat Certified, РЕД ОС
2024-12-20
Уязвимость сервера приложений Apache Tomcat связана с ошибками синхронизации при использовании общего ресурса в результате отсутствия учета регистра в файловой системе при записи сервлетов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Использование рекомендаций: https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbp https://tomcat.apache.org/security-11.html https://tomcat.apache.org/security-10.html https://tomcat.apache.org/security-9.html
После установки обновлений пользователям необходимо внести изменения в настройки в зависимости от версии Java: Для Java 8 и Java 11: установить системное свойство sun.io.useCanonCaches в значение false (по умолчанию — true). Для Java 17: проверить, что свойство sun.io.useCanonCaches отключено (по умолчанию оно уже отключено). Для Java 21 и новее: дополнительных действий не требуется, так как данное свойство уже было удалено.
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-tomcat-cve-2024-56337/?sphrase_id=756632
Для Libercat Certified: Обновление ПО до актуальной версии