Apache Tomcat发布安全更新 借CVE-2024-56337可远程代码执行
Apache 软件基金会即 ASF 发布安全更新用于修复 Tomcat 服务器软件中的重要安全漏洞:CVE-2024-56337,攻击者借助该漏洞可以在满足某些条件下远程代码执行 (RCE)。
CVE-2024-56337 是此前另一个漏洞 CVE-2024-50379 (漏洞评分为 9.8/10 分) 的不完整缓解导致,该漏洞是 12 月 17 日修复的,但现在由于出现新问题只能继续发补丁。
Tomcat 维护者在公告中表示:
在不区分大小写的文件系统上运行 Apache Tomcat 并且默认启用 servlet 写入 (将制度初始化参数设置为非默认值 false) 的用户可能需要额外配置才能完全缓解 CVE-2024-50379 漏洞,具体取决于用户在 Tomcat 中使用的是哪个版本的 Java。
这两个漏洞都是 TOCTOU 竞争条件类的问题,当启用默认 servlet 进行写入时,可能导致在不区分大小写的文件系统上执行代码。
CVE-2024-50379 漏洞的描述则是:在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查,并导致上传的文件被视为 JSP 从而导致远程代码执行。
CVE-2024-56337 漏洞影响以下版本的 Apache Tomcat:
Apache Tomcat 11.0.0-M1~11.0.1 (修复版本为 11.0.2+)
Apache Tomcat 10.1.0-M1~10.1.33 (修复版本为 10.1.34+)
Apache Tomcat 9.0.0.M1~9.0.97 (修复版本为 9.0.98+)
用户还需要根据自己使用的 Java 版本进行配置更改:
若使用 Java 8/11,将系统属性 sun.io.useCanonCaches 明确设置为 false,默认为 true
若使用 Java 17,则需要检查 sun.io.useCanonCaches 是否为 false,该选项默认为 false
若使用 Java 21 及更高版本,则无需采取任何措施,因为这个属性已经被删除
关注公众号:拾黑(shiheibook)了解更多
赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

随时掌握互联网精彩
- 英镑兑换人民币汇率2023年8月22日
- 2022年我国规上互联网企业利润总额保持增长 研发经费规模加快增长
- 365天没登录就被游戏公司删号?法院判了:此规定无效
- 新知洞察|转型中的企业, 困在18种“看不见的成本”里
- 【周末荐书】迈向橄榄型社会:增长、分配与公共政策选择
- 造车新势力角逐战:“蔚小理”不断内卷,“哪零威”攻势凶猛
- iOS 16 Beta 3发布:有10大新变化,被雪藏15年的壁纸回归!
- AI 考高数得分 81,网友:AI 模型也免不了“内卷”!
- 微软智能云在华发布多项混合云服务及功能更新
- 企业“摸鱼”新技能 | 万物皆可自动化
- VIP被弹专属广告?爱奇艺还有更神奇的操作
- 互动竟能点燃年轻人看晚会的热情?