Apache Tomcat竞争条件远程代码执行漏洞（CVE-2024-50379）

漏洞描述:

ApacheTomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器,2024年12月,官方披露CVE-2024-50379Apache Tomcat 条件竞争文件上传漏洞。

由于 Apache Tomcat 在路径校验逻辑中存在缺陷，当在不区分大小写的系统（如Windows）上启用了default servlet 的写入功能（默认关闭）时，攻击者可构造恶意请求绕过路径一致性检查，从而可能上传webshell并造成远程代码执行。

漏洞利用需要条件竞争，对网络以及机器性能环境等有一定要求。

修复建议:

升级版本
目前该漏洞已经修复,受影响用户可升级到以下版本:
Apache Tomcat >= 11.0.2

Apache Tomcat >= 10.1.34

Apache Tomcat >= 9.0.98

下载链接:
https://tomcat.apache.org/index.html

临时措施:
无法立即升级的用户可通过禁用Apache Tomcat默认servlet的写入功能（即将readonly参数设置为true），或确保服务器运行在区分大小写的文件系统上，来缓解该漏洞。

原文始发于微信公众号（飓风网络安全）：【漏洞复现】Apache Tomcat竞争条件远程代码执行漏洞（CVE-2024-50379）