Global Preloader
Vulnerabilidad
(06/Oct/2017) Apache Tomcat corrige fallas importantes de ejecución remota de código

Apache Tomcat corrige fallas importantes de ejecución remota de código

El equipo de Apache Tomcat ha solucionado recientemente varias vulnerabilidades de seguridad en Apache Tomcat, una de las cuales podría permitir a un atacante no autorizado ejecutar código malicioso en servidores afectados de forma remota.

Apache Tomcat, desarrollado por Apache Software Foundation (ASF), es un servidor web de código abierto y servlet, que utiliza varias especificaciones de Java EE como Servlet Java, JavaServer Pages (JSP), Expression Language y WebSocket. Java "entorno de servidor web HTTP para el concepto de Java.

A diferencia de las vulnerabilidades de Apache Struts2, que recientemente han sido explotadas para violar los sistemas de la agencia estadounidense de informes crediticios Equifax, las fallas de Apache Tomcat son menos probables de ser explotadas.

La vulnerabilidad crítica de la ejecución remota de código (CCE-2017-12617) descubierta en Apache Tomcat se debe a una validación insuficiente de la entrada suministrada por el usuario del software afectado.

Sólo se afectan los sistemas con HTTP PUT habilitados (a través del ajuste del parámetro de inicialización de "sólo lectura" del servlet predeterminado a "false").

La explotación de esta vulnerabilidad requiere que un atacante cargue un archivo JSP (Java Server Page) creado maliciosamente en un servidor de destino que ejecute una versión afectada de Apache Tomcat y el código que contiene el archivo JSP sería ejecutado por el servidor cuando se solicite el archivo.

Para cargar la JSP creada de forma malintencionada, el atacante sólo tiene que enviar una solicitud HTTP PUT al servidor vulnerable, como se menciona en el código de explotación de PoC (proof of concept) publicado por Peter en la lista de correo de Apache.

El exploit finalmente permitiría al atacante ejecutar código malicioso en el servidor de destino.

Esta vulnerabilidad de RCE, marcada como "importante", afecta a todas las versiones de Apache Tomcat version.M1 a 9.0.0, 8.5.0 a 8.5.22, 8.0.0.RC1 a 8.0.46 y 7.0.0 a 7.0.81, y se ha abordado con el lanzamiento de Tomcat versiones 9.0.1 (Beta), 8.5.23, 8.0.47 y 7.0.82.

Un problema de seguridad similar (CVE-2017-12615) descubierto en Tomcat 7 en Windows fue remendado por los desarrolladores de Apache Tomcat el 19 de septiembre con el lanzamiento de la versión 7.0.81.

Se recomienda encarecidamente a los administradores que apliquen las actualizaciones de software lo antes posible y se les aconseja que sólo permitan a los usuarios de confianza tener acceso a la red y supervisar los sistemas afectados.

Los investigadores no han detectado ningún incidente de la explotación de una de estas vulnerabilidades de Apache Tomcat en estado salvaje.