聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞的编号是CVE-2024-56337,是因位于同样产品中另外一个严重漏洞CVE-2024-50379(CVSS评分9.8)的缓解不完整引发的,后者于2024年12月17日修复。
项目维护人员在上周发布安全公告提到,“在大小写敏感的文件系统上运行 Tomcat 的用户,启用了默认的伺服小程序写权限,可能需要额外的配置才能完全缓解CVE-2024-50379,具体取决于他们通过 Tomcat 使用的 Java 版本。”
这两个漏洞都是TOCTOU 条件竞争漏洞。当默认的伺服小程序启用获得写权限时,可导致在大小写敏感的文件系统上实现代码执行。Apache 在发布针对CVE-2024-50379的告警中提到,“在同样文件中加载之下的并发读取和上传可绕过 Tomcat 的大小写敏感检查并导致被上传的文件被当作JSP处理,导致远程代码执行后果。“
CVE-2024-56337 影响 Apache Tomcat 如下版本:
-
Apache Tomcat 11.0.0-M1 至 11.0.1(在11.0.2或后续版本修复)
-
Apache Tomcat 10.1.0-M1 至 10.1.33 (在10.1.34或后续版本修复)
-
Apache Tomcat 9.0.0.M1 至 9.0.97(在9.0.98或后续版本修复)
此外,用户应根据所运行的 Java 版本,执行如下配置变更:
-
Java 8 或 Java 11——直接明确地将系统属性sun.io.useCanonCaches设为false(默认为true)。
-
Java 17 ——如已设置,则将系统属性sun.io.useCanonCaches 设置为false(默认为false)。
-
Java 21 及后续——无需任何操作,因为系统属性已被清除。
与此同时,ZDI分享了位于 Webmin 中严重漏洞(CVE-2024-12828,CVSS评分9.9)的详情。该漏洞可导致远程攻击者执行任意代码。ZDI提到,“该缺陷存在于CGI请求处理中,是因为在使用由用户提供的字符串执行系统调用前,缺乏正确验证。攻击者可利用该漏洞在 root 上下文中执行代码。”
原文始发于微信公众号(代码卫士):Apache Tomcat 漏洞导致服务器易受RCE攻击
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论