【漏洞预警】 Apache Tomcat default servlet条件竞争文件上传漏洞(CVE-2024-50379)

科技   2024-12-18 12:19   北京  

漏洞描述:

Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,2024年12月18日,官方披露CVE-2024-50379Apache Tomcat default servlet条件竞争文件上传RCE漏洞。

由于Apache Tomcat中的JSP编译过程中存在条件竞争漏洞,当在不区分大小写的系统上启用了default servlet 的写入功能(默认关闭)时,并发同时读取和上传同一个文件可以绕过Tomcat 的大小写敏感检查,将可能造成远程代码执行,漏洞利用需要条件竞争,对网络以及机器性能环境等有一定要求。

影响范围:

Apache Tomcat 11.0.0-M1 ~ 11.0.1
Apache Tomcat 10.1.0-M1~ 10.1.33
Apache Tomcat 9.0.0.M1 ~ 9.0.97

安全版本:
Apache Tomcat 11.0.2
Apache Tomcat 10.1.34
Apache Tomcat 9.0.98

修复建议:
  1. 建议升级至安全版本及其之后。

2.若无必要建议关闭DefaultServlet的写入功能(设置readonly为 true)。

3.Apache Tomcat default servlet PUT开启风险进行检测。

飓风网络安全
专注网络安全,成立于2014年;专注于研究安全服务,黑客技术、0day漏洞、红蓝对抗、威胁情报、应用安全、主机安全,提供服务器网站安全解决方案,数据库安全、服务器安全运维。
 最新文章