%20%E2%80%93%20%D9%87%D9%84%20%D8%AE%D9%88%D8%A7%D8%AF%D9%85%D9%83%20%D9%85%D9%87%D8%AF%D8%AF%D8%A9%D8%9F.jpg)
ثغرة أمنية جديدة في Apache Tomcat تعرض الخوادم لهجمات تنفيذ الشيفرة عن بُعد (RCE)
كشفت مؤسسة Apache للبرمجيات عن ثغرة أمنية جديدة في خادم Apache Tomcat تحت الرقم CVE-2024-56337، والتي قد تعرض الخوادم للهجوم من خلال تنفيذ شيفرة عن بُعد (Remote Code Execution - RCE). تأتي هذه الثغرة في سياق CVE-2024-50379، وهي ثغرة سابقة تم معالجتها في ديسمبر 2024، ولكن CVE-2024-56337 تعالج مشكلة لم تتم معالجتها بشكل كامل في الثغرة السابقة.
تفاصيل الثغرة
تتمثل المشكلة في أن الخوادم التي تعمل على أنظمة ملفات غير حساسة لحالة الأحرف (أي أن النظام لا يميز بين الأحرف الكبيرة والصغيرة في أسماء الملفات) قد تكون عرضة للهجوم في حال تم تمكين الكتابة الافتراضية للخدمة (servlet). قد يستغل المهاجم هذه الثغرة لتنفيذ شيفرة خبيثة على الخادم.
الثغرة تعد من نوع Time-of-check Time-of-use (TOCTOU)، وهي نوع من الثغرات التي تحدث عندما يتسابق التحقق من شيء واستخدامه. في هذه الحالة، يمكن للمهاجم استغلال ذلك لتحميل ملف بطريقة معينة تؤدي إلى تنفيذ الشيفرة على الخادم.
تأثير الثغرة
تؤثر الثغرة على إصدارات Apache Tomcat من الإصدار 9.0.0.M1 إلى الإصدار 11.0.1. ولحسن الحظ، تم إصلاح الثغرة في الإصدارات الأحدث مثل 11.0.2 و 10.1.34 و 9.0.98.
كيفية الإصلاح
لحماية الخوادم من هذه الثغرة، يجب على المسؤولين تحديث خوادم Tomcat إلى الإصدارات التي تحتوي على الإصلاحات الأمنية. كما يجب إجراء بعض التعديلات على إعدادات الخادم حسب إصدار Java المستخدم:
- Java 8 و Java 11: يجب تعيين خاصية النظام
sun.io.useCanonCachesإلى false. - Java 17: نفس الإجراء، لكن إذا كانت الخاصية قد تم تعيينها مسبقًا، يجب تعيينها إلى false.
- Java 21 وما بعده: لا حاجة لأي إجراء، حيث تم إزالة الخاصية من النظام.
الباحثون الأمنيون
تم اكتشاف هذه الثغرة من قبل مجموعة من الباحثين الأمنيين، وهم: Nacl و WHOAMI و Yemoli و Ruozhi. كما تم اكتشاف ثغرات مشابهة في برامج أخرى مثل Webmin، مما يسلط الضوء على أهمية تحديث الأنظمة بشكل دوري للحفاظ على الأمان.
الخلاصة
تعد CVE-2024-56337 ثغرة خطيرة قد تسمح للمهاجمين بتنفيذ شيفرة خبيثة على الخوادم المتأثرة، ما يستدعي من المسؤولين اتخاذ إجراءات فورية لتحديث الأنظمة وتنفيذ التغييرات المطلوبة في التكوين لضمان أمان الخوادم ضد هذه الهجمات.
