2024年12月,Apache 官方披露 CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞
01
风险描述
Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器。2024年12月,官方披露 CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞。
由于 Apache Tomcat 在路径校验逻辑中存在缺陷,当在不区分大小写的系统(如Windows)上启用了default servlet 的写入功能(默认关闭)时,攻击者可构造恶意请求绕过路径一致性检查,从而可能上传webshell并造成远程代码执行。漏洞利用需要条件竞争,对网络以及机器性能环境等有一定要求。
02
风险评级
CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞 高危
03
Apache Tomcat 11.0.0-M1 ~ 11.0.1
Apache Tomcat 10.1.0-M1 ~ 10.1.33
Apache Tomcat 9.0.0.M1 ~ 9.0.97
04
安全建议
1、建议升级至安全版本及其之后。
2、若无必要建议关闭 Default Servlet 的写入功能(设置readonly为 true)。
3、云安全中心应用漏洞支持针对 Apache Tomcat default servlet PUT 开启风险 进行检测。
05
相关链接
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
https://avd.aliyun.com/detail/AVD-2024-50379
https://avd.aliyun.com/detail/AVD-2024-1770267
原文始发于微信公众号(阿里云应急响应):Apache Tomcat 条件竞争文件上传漏洞(CVE-2024-50379)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论