Apache 软件基金会最近发布了一个关键安全更新,以解决 Apache Tomcat 中的远程代码执行 (RCE) 漏洞,编号为 CVE-2024-56337。此漏洞影响多个 Tomcat 版本,包括 11.0.0-M1 至 11.0.1、10.1.0-M1 至 10.1.33 和 9.0.0.M1 至 9.0.97。
此漏洞源于对先前漏洞 CVE-2024-50379 的未完全缓解。攻击者可以在 Tomcat 的默认 servlet 启用了写入功能的不区分大小写的文件系统上利用此漏洞。通过操纵特定路径,恶意行为者可以绕过安全措施并上传包含有害 JSP 代码的文件,最终导致远程代码执行。
在不区分大小写的文件系统上运行受影响版本的 Apache Tomcat 的用户(尤其是启用了默认 servlet 写入功能的用户)最容易受到攻击。此漏洞构成重大威胁,因为它可能允许攻击者完全控制受影响的系统。
CVE-2024-56337 由研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现并报告,而知道创宇 404 团队(包括 dawu 和 Sunflower)也做出了进一步贡献,他们提供了详细的 PoC。
Apache 软件基金会敦促用户将其 Tomcat 安装更新到最新的安全版本:
-
Apache Tomcat 11.0.2 或更高版本
-
Apache Tomcat 10.1.34 或更高版本
-
Apache Tomcat 9.0.98 或更高版本
根据 Tomcat 使用的 Java 版本,可能需要进一步配置才能完全降低风险:
-
Java 8 或 Java 11:将系统属性sun.io.useCanonCaches明确设置为false。
-
Java 17:确保系统属性sun.io.useCanonCaches(如果设置)设置为false。
-
Java 21 及更高版本:无需采取进一步措施。
原文始发于微信公众号(Ots安全):CVE-2024-56337:Apache Tomcat 修补关键 RCE 漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论