CSIRT Panamá Aviso 2020-05-26 Apache Tomcat: Actualizaciones de Múltiples vulnerabilidades que afectan Apache para Apache Tomcat.

Gravedad:Media                                                                                                              Vulnerabilidad: CVE-20209484                                                                                    Fecha de publicación: Mayo 26, 2020
Última revisión: Mayo 26, 2020
Portal: https://apache.org

Sistemas Afectados:
Vulnerabilidades de seguridad que afectan a todas las versiones anteriores de:

• Apache Tomcat desde la versión 10.0.0-M1 hasta la 10.0.0-M4.
• Apache Tomcat desde la versión 9.0.0.M1 hasta la 9.0.34.
• Apache Tomcat desde la versión 8.5.0 hasta la 8.5.54.
• Apache Tomcat desde la versión 7.0.0 hasta la 7.0.103

I. Descripción
Actualización de seguridad que afecta Apache para Apache Tomcat

II. Impacto

Vulnerabilidad: CVE-2020-9484

Enviando una petición especialmente diseñada al servidor Apache Tomcat, un atacante podría enviar la ejecución de código remoto a través de la codificación de un archivo bajo su control, comprometiendo completamente. Algunas condiciones determinantes para realizar el ataque son:

• El atacante debe poder controlar los contenidos y el nombre de un archivo en el servidor.
• El servidor debe estar configurado para utilizar «PersistenceManager» con un «FileStore».
• El parámetro «sessionAttributeValueClassNameFilter» en «PersistenceManager» está configurado con el valor «null» (el cual viene por defecto a menos de que se utilice «SecurityManager»), o con un filtro suficientemente flexible como para permitir la codificación del objeto proporcionado por el atacante.
• El atacante debe conocer la ruta relativa desde la zona de almacenamiento utilizada por «FileStore» hasta el archivo bajo su control.nte al sistema afectado.

III. Referencia a soluciones, herramientas e información

Actualizar a las versiones correspondientes de Apache Tomcat 7.0.104, 8.5.55, 9.0.35, 10.0.0-M5 o posterior, mediante su sitio web (https://projects.apache.org/releases.html)

Fuentes:

• Apache Tomcat Remote Code Execution via session persistence. 20 de mayo del 20202. apache.org. Recopilado en: https://lists.apache.org/thread.html/r77eae567ed829da9012cadb29af17f2df8fa23bf66faf88229857bb1%40<announce.tomcat.apache.org
• Common Vulnerabilities and Exposures (CVE). Recopilado en: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-9484
• CSIRT Chile. 24 de mayo del 2020. Vulnerabilidades. Recopilado en: https://www.csirt.gob.cl/vulnerabilidades/9vsa20-00222-01/

Información de contacto
CSIRT PANAMA
Computer Security Incident Response Team Autoridad Nacional para la Innovacion Gubernamental
E-Mail: info@cert.pa
Phone: +507 520-CERT (2378)
Web: https://cert.pa
Twitter: @CSIRTPanama
Key ID: 16F2B124