Apache Software Foundation (ASF) 发布了一个安全更新,以解决其 Tomcat 服务器软件中的一个重要漏洞,该漏洞在某些情况下可能导致远程代码执行 (RCE)。
该漏洞被跟踪为 CVE-2024-56337,被描述为 CVE-2024-50379(CVSS 评分:9.8)的不完整缓解措施,这是同一产品中的另一个严重安全漏洞,之前已于 2024 年 12 月 17 日解决。
项目维护者在上周的一份公告中表示:“在启用默认 servlet 写入(readonly 初始化参数设置为非默认值 false)的不区分大小写的文件系统上运行 Tomcat 的用户可能需要额外的配置来完全缓解 CVE-2024-50379,具体取决于他们与 Tomcat 一起使用的 Java 版本。
这两个缺陷都是检查时间使用时间 (TOCTOU) 争用条件漏洞,当启用默认 servlet 写入时,该漏洞可能导致在不区分大小写的文件系统上执行代码。
Apache 在 CVE-2024-50379 警报中指出:“在加载同一文件时并发读取和上传可以绕过 Tomcat 的区分大小写检查,并导致上传的文件被视为 JSP,从而导致远程代码执行。
CVE-2024-56337 会影响以下版本的 Apache Tomcat:
-
Apache Tomcat 11.0.0-M1 至 11.0.1(已在 11.0.2 或更高版本中修复)
-
Apache Tomcat 10.1.0-M1 至 10.1.33(已在 10.1.34 或更高版本中修复)
-
Apache Tomcat 9.0.0.M1 至 9.0.97(已在 9.0.98 或更高版本中修复)
此外,用户需要根据正在运行的 Java 版本执行以下配置更改:
-
Java 8 或 Java 11 - 将系统属性 sun.io.useCanonCaches 显式设置为 false(默认为 true)
-
Java 17 - 将系统属性 sun.io.useCanonCaches 设置为 false(如果已设置)(默认为 false)
-
Java 21 及更高版本 - 无需执行任何操作,因为 system 属性已被删除
ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现并报告了这两个缺点。它还感谢 KnownSec 404 团队独立报告了带有概念验证 (PoC) 代码的 CVE-2024-56337。
此次披露正值 Zero Day Initiative (ZDI) 分享了 Webmin 中一个关键漏洞(CVE-2024-12828,CVSS 评分:9.9)的详细信息,该漏洞允许经过身份验证的远程攻击者执行任意代码。
“处理 CGI 请求中存在具体缺陷,”ZDI 表示。“此问题是由于在使用用户提供的字符串执行系统调用之前未对其进行适当验证造成的。攻击者可以利用此漏洞在 root 上下文中执行代码。
敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
|
原文始发于微信公众号(信息安全大事件):Apache Tomcat 漏洞 CVE-2024-56337 导致服务器遭受 RCE 攻击
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3548502.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论