Apache Tomcat 竞争条件远程代码执行漏洞（CVE-2024-50379）

Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。

2024年12月18日，启明星辰集团VSRC监测到Apache Tomcat中修复了一个TOCTOU竞争条件远程代码执行漏洞（CVE-2024-50379），该漏洞的CVSS评分为9.8。

Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞，当Apache Tomcat的默认servlet被配置为允许写入（即readonly初始化参数被设置为非默认值false），在不区分大小写的文件系统上，当对同一文件进行并发读取和上传时，可能绕过Tomcat的大小写敏感性检查，导致上传的文件被错误地当作JSP文件处理，从而导致远程代码执行。

二、影响范围

Apache Tomcat 11.0.0-M1 - 11.0.1

Apache Tomcat 10.1.0-M1 - 10.1.33

Apache Tomcat 9.0.0.M1 - 9.0.97

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可升级到以下版本：

Apache Tomcat >= 11.0.2

Apache Tomcat >= 10.1.34

Apache Tomcat >= 9.0.98

下载链接：

https://tomcat.apache.org/index.html

3.2 临时措施

无法立即升级的用户可通过禁用Apache Tomcat默认servlet的写入功能（即将readonly参数设置为true），或确保服务器运行在区分大小写的文件系统上，来缓解该漏洞。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

https://nvd.nist.gov/vuln/detail/CVE-2024-50379

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】Apache Tomcat 竞争条件远程代码执行漏洞（CVE-2024-50379）