Múltiples vulnerabilidades de seguridad se han parcheado en las últimas semanas en Apache Tomcat incluyendo el CVE-2017 a 12617 Código vulnerabilidad de ejecución.
Apache Tomcat es el servidor de aplicaciones web más utilizado, con más de un millón de descargas al mes y más de un 70% de penetración en los centro de datos empresarial.El martes 3 de octubre, el equipo de desarrollo de Apache Tomcat dio a conocer públicamente la presencia de una vulnerabilidad de ejecución remota de código, seguimiento como CVE-2.017 a 12.617, lo que afecta el servidor de aplicaciones de Internet más populares.
Las versiones de Tomcat afectadas son la 9.x, 8.5.x, 8.0.x y 7.0.x.
La vulnerabilidad clasificado como gravedad “importante”, se ha resuelto en las versiones 9.0.1, 8.5.23, 8.0.47 y 7.0.82.
La vulnerabilidad sólo afecta a los sistemas que tienen habilitado el método HTTP PUT afectada, que podría ser explotada por atacantes para cargar un archivo JSP maliciosa a un servidor de destino utilizando una solicitud especialmente diseñada. Una vez que el archivo se ha cargado, el código que contiene podría ser ejecutado por los que solicita el archivo.
Afortunadamente, la extensión de la falla está limitada por el hecho de que podría ser activado sólo en el servlet por defecto configurado con el sólo lectura parámetro establecido en falso o el servlet WebDAV habilitado con el sólo lectura parámetro establecido en falso.
“Cuando se trabaja con PUT HTTP activadas (valor por ejemplo a través del parámetro de inicialización de sólo lectura del servlet por defecto es false) fue posible cargar un archivo JSP en el servidor a través de una solicitud especialmente diseñada. Este JSP podría entonces ser solicitado y el código que contenga sería ejecutado por el servidor.Afirma el aviso de seguridad.
Esta configuración permitiría a cualquier usuario no autenticado para subir archivos (como se usa en WebDAV). Se descubrió que el filtro que impide la carga de JavaServer Pages (.jsp) puede ser evitado. Así JSP se puede cargar, que luego puede ser ejecutado en el servidor.” ,“Ahora ya que esta característica no suele ser querido, el sistema más expuesta públicamente no habrá sólo lectura se establece en false y por lo tanto no se ven afectados.”
Segun el investigador de seguridad Peter Stöckli.
La prueba de concepto-(PoC) para la falla CVE-2017-12617 está disponible al público.
Stöckli puso de relieve las similitudes entre la falla CVE-2.017 hasta 12.617 y el CVE-2017-12615 vulnerabilidad que se arreglo el 19 de septiembre con el lanzamiento de la versión 7.0.81.
Fecha actualización el 2021-10-05. Fecha publicación el 2017-10-05. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente: securityaffairs