Apache Tomcat 是一个开源的 Java Servlet 容器和 Web 服务器,支持运行 Java Servlet、JavaServer Pages (JSP) 和其他基于 Java 的 Web 应用程序,广泛用于开发和部署企业级 Web 应用。
2024年12月,Apache 官方发布安全补丁修复了 Tomcat 中的一个远程代码执行漏洞。该漏洞导致非默认配置下的Tomcat可能会被攻击者利用,建议受影响的用户尽快修复此漏洞。
漏洞成因
该漏洞源于 Windows 文件系统与 Tomcat 在路径大小写敏感性处理上的不一致。攻击者利用了 Tomcat 路径校验逻辑中的缺陷,通过绕过路径一致性检查,将原本无法解析的文件(如大小写不同的 JSP 文件)转为可解析状态。
当默认 Servlet 的 readonly 参数被设置为 false(非默认配置)并允许使用 PUT 方法上传文件时,攻击者能够上传包含恶意 JSP 代码的文件并通过条件竞争不断发送请求,触发 Tomcat 对其解析和执行,最终实现远程代码执行。
漏洞影响
成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。
处置优先级:高
漏洞类型:逻辑漏洞
漏洞危害等级:严重
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:非默认配置,需启用HTTP PUT方法,且操作系统为Windows
用户交互要求:无需用户交互
利用成熟度:POC/EXP已公开
批量可利用性:可使用通用 POC/EXP,批量检测/利用
修复复杂度:低,官方提供补丁修复方案
11.0.0-M1 <= Apache Tomcat < 11.0.2
10.1.0-M1 <= Apache Tomcat < 10.1.34
9.0.0.M1 <= Apache Tomcat < 9.0.98
临时缓解方案
1. 根据业务需求评估,将 conf/web.xml文件中的 readOnly 参数设置为 true 或注释该参数,禁用 PUT 方法并重启 Tomcat 服务以使配置生效,从而临时规避该安全风险。
2. 使用WAF等防护设备对目标系统进行防护,拦截包含恶意代码的文件上传请求。
3. 如非必要,避免将相关资产直接暴露在互联网上。
升级修复方案
原文始发于微信公众号(长亭安全应急响应中心):【已复现】Apache Tomcat条件竞争致远程代码执行漏洞(CVE-2024-50379)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论