Sommario
Il panorama tecnologico continua a essere dinamico, con recenti aggiornamenti a vulnerabilità che coinvolgono il server web Apache Tomcat e una patch per un errore di attivazione nei prodotti Microsoft 365. Entrambi i casi sottolineano l’importanza di una manutenzione proattiva per prevenire interruzioni e rischi per la sicurezza.
Apache Tomcat: patch per una vulnerabilità di esecuzione remota di codice
Apache ha rilasciato un aggiornamento di sicurezza per correggere una vulnerabilità (CVE-2024-56337) che consentiva l’esecuzione remota di codice (RCE). Questa falla è stata individuata come un’incompleta mitigazione della vulnerabilità CVE-2024-50379, riscontrata in precedenza. Il problema deriva da una race condition TOCTOU (time-of-check time-of-use) che interessa i sistemi con il parametro readonly disabilitato sui servlet di default e file system case-insensitive.
Le versioni di Tomcat affette includono:
- 11.0.0-M1 fino a 11.0.1
- 10.1.0-M1 fino a 10.1.33
- 9.0.0.M1 fino a 9.0.97
Per risolvere il problema, gli utenti devono aggiornare a:
- Tomcat 11.0.2
- Tomcat 10.1.34
- Tomcat 9.0.98
Configurazioni addizionali raccomandate per Java
- Java 8 o 11: Impostare
sun.io.useCanonCachessufalse. - Java 17: Verificare che
sun.io.useCanonCachessia impostato sufalse. - Java 21 e versioni successive: Nessuna configurazione necessaria poiché il problema è stato rimosso.
Il team di Apache prevede ulteriori miglioramenti alla sicurezza con le prossime versioni di Tomcat (11.0.3, 10.1.35, e 9.0.99), per rafforzare le configurazioni predefinite e prevenire sfruttamenti futuri.
Microsoft 365: risolto l’errore di disattivazione del prodotto
Microsoft ha recentemente affrontato un problema che causava la comparsa casuale di un messaggio di errore di “prodotto disattivato” in app come Word e Excel. Questo problema si verificava quando gli amministratori modificavano licenze o gruppi di licenze, ad esempio spostando utenti tra gruppi Azure AD o modificando i piani di licenza.
Soluzione e workaround
La patch rilasciata dal team di ingegneria risolve l’errore, ma gli utenti possono temporaneamente superare il problema seguendo questi passaggi:
- Fare clic sul pulsante Riattiva nel banner di errore e accedere di nuovo.
- Uscire da tutte le app Microsoft 365, chiuderle e riavviarle.
Per gli amministratori, è consigliato monitorare lo stato delle licenze tramite strumenti diagnostici ufficiali, come l’Office Licensing Diagnostic Tool.
Dagli aggiornamenti critici di sicurezza per Apache Tomcat alla gestione proattiva dei problemi di attivazione su Microsoft 365, questi sviluppi evidenziano l’importanza di rimanere aggiornati con le ultime patch per garantire la sicurezza e la continuità operativa.
