Trong không gian rộng lớn của công nghệ web, Apache Tomcat là một bản triển khai miễn phí và mã nguồn mở quan trọng cho các công nghệ Jakarta Servlet, Jakarta Expression Language và WebSocket.
Apache Tomcat còn là môi trường máy chủ web HTTP “pure Java”, Tomcat đã lâu trở thành nền tảng lý tưởng để chạy mã Java, một máy chủ ứng dụng web Java xuất sắc, mặc dù không phải là một máy chủ ứng dụng JEE đầy đủ. Tuy nhiên, một lỗ hổng nghiêm trọng mới đã được phát hiện trong Apache Tomcat.
Lỗ hổng được theo dõi là CVE-2024-21733 – lỗ hổng bảo mật cụ thể này mở ra một tình huống đáng báo động: yêu cầu POST không hoàn chỉnh, một sự cố phổ biến trong giao tiếp web, kích hoạt một phản ứng lỗi. Điều này có thể vô tình chứa dữ liệu từ yêu cầu trước đó của một người dùng khác. Hậu quả gây ra khá lớn, đặt ra nguy cơ tiềm ẩn về tiết lộ thông tin.
Nhà nghiên cứu bảo mật xer0dayz từ Sn1perSecurity LLC đã được ghi nhận vì báo cáo lỗ hổng này.
Các phiên bản của Apache Tomcat bị ảnh hưởng bởi lỗ hổng này kéo dài trên một phạm vi rộng, cụ thể từ Apache Tomcat 9.0.0-M11 đến 9.0.43 và Apache Tomcat 8.5.7 đến 8.5.63. Người dùng sử dụng những phiên bản này đều không biết rằng CVE-2024-21733 có thể tiềm ẩn rò rỉ thông tin nhạy cảm.
Người dùng của các phiên bản bị ảnh hưởng nên sử dụng phiên bản đã vá lỗi. Một, nâng cấp lên Apache Tomcat 9.0.44 hoặc cao hơn. Hai, đối với những người dùng trên nhánh 8.5.x, chuyển sang Apache Tomcat 8.5.64 hoặc cao hơn.