网络安全

Network Security

当前位置: 首页 > 网络安全 > 网络安全预警信息 > 正文

关于Apache Tomcat竞争条件远程代码执行漏洞(CVE-2024-50379)的安全预警

日期:2024-12-20阅读:

一、 基本情况

Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。

二、 漏洞描述

Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8Apache Tomcat JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。

三、 影响范围

Apache Tomcat 11.0.0-M1 - 11.0.1

Apache Tomcat 10.1.0-M1 - 10.1.33

Apache Tomcat 9.0.0.M1 - 9.0.97

四、 修复建议

目前该漏洞已经修复,受影响用户可升级到以下版本

Apache Tomcat >= 11.0.2

Apache Tomcat >= 10.1.34

Apache Tomcat >= 9.0.98

下载链接

https://tomcat.apache.org/index.html

五、 参考链接

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

https://nvd.nist.gov/vuln/detail/CVE-2024-50379


我是盾盾