漏洞描述:
Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,2024年12月18日,官方披露CVE-2024-50379Apache Tomcat default servlet条件竞争文件上传RCE漏洞。
由于Apache Tomcat中的JSP编译过程中存在条件竞争漏洞,当在不区分大小写的系统上启用了default servlet 的写入功能(默认关闭)时,并发同时读取和上传同一个文件可以绕过Tomcat 的大小写敏感检查,将可能造成远程代码执行,漏洞利用需要条件竞争,对网络以及机器性能环境等有一定要求。影响范围:
Apache Tomcat 11.0.0-M1 ~ 11.0.1
Apache Tomcat 10.1.0-M1~ 10.1.33
Apache Tomcat 9.0.0.M1 ~ 9.0.97
安全版本:
Apache Tomcat 11.0.2
Apache Tomcat 10.1.34
Apache Tomcat 9.0.98
修复建议:
建议升级至安全版本及其之后。
2.若无必要建议关闭DefaultServlet的写入功能(设置readonly为 true)。
3.Apache Tomcat default servlet PUT开启风险进行检测。