Apache ha publicado actualizaciones de seguridad para Apache Tomcat, abordando vulnerabilidades que permiten la ejecución remota de código (RCE) y ataques de denegación de servicio (DoS). Se insta a los usuarios a actualizar a las versiones más recientes.
CVE-2024-50379: Vulnerabilidad de Condición de Carrera que Permite Ejecución Remota de Código (RCE)
Esta vulnerabilidad se debe a una condición de carrera (race condition) durante la compilación de JSP en Apache Tomcat, que puede ser explotada en sistemas de archivos que no distinguen entre mayúsculas y minúsculas cuando el servlet predeterminado está habilitado para escritura (una configuración no predeterminada) [1] [2]. Un atacante podría aprovechar esta falla para ejecutar código arbitrario de forma remota en el servidor afectado.
CVE-2024-54677: Vulnerabilidad de Consumo No Controlado de Recursos que Conduce a Denegación de Servicio (DoS)
Esta vulnerabilidad afecta a la aplicación web de ejemplos proporcionada con Apache Tomcat. Permite que un atacante provoque una denegación de servicio mediante el consumo no controlado de recursos, específicamente al cargar cantidades excesivas de datos, lo que puede llevar a un error de memoria insuficiente (OutOfMemoryError) [1] [3].
Productos y versiones afectadas
Tabla 1. Productos y versiones afectadas
| Productos afectados | Versiones afectadas | Solución |
| Apache Tomcat | Versión 11.0.0-M1 hasta la 11.0.1. | Actualizar a 11.0.2 o versiones posteriores. |
| Versión 10.1.0-M1 hasta la 10.1.33. | Actualizar a 10.1.34 o versiones posteriores. | |
| Versión 9.0.0-M1 hasta la 9.0.97. | Actualizar a 9.0.98 o versiones posteriores |
Recomendaciones
- Actualizar Apache Tomcat a las versiones parcheadas, que corrigen estas vulnerabilidades.
- Restringir los permisos de escritura del servlet predeterminado, asegurando que el parámetro de inicialización readonly esté establecido en true.
- Eliminar o deshabilitar las aplicaciones de ejemplo proporcionadas con Apache Tomcat, ya que pueden ser explotadas para ataques de denegación de servicio.
Referencia:
[1] D. Son, «RCE and DoS Vulnerabilities Addressed in Apache Tomcat: CVE-2024-50379 and CVE-2024-54677,» Cybersecurity News, 17 Diciembre 2024. [En línea]. Available: https://securityonline.info/rce-and-dos-vulnerabilities-addressed-in-apache-tomcat-cve-2024-50379-and-cve-2024-54677/.
[2] «CVE-2024-50379,» CVE, 17 Diciembre 2024. [En línea]. Available: https://www.cve.org/CVERecord?id=CVE-2024-50379.
[3] «CVE-2024-54677,» CVE, 17 Diciembre 2024. [En línea]. Available: https://www.cve.org/CVERecord?id=CVE-2024-54677.
