Apache Tomcat 条件竞争文件上传漏洞(CVE-2024-50379)
2024-12-18 06:51:0 Author: mp.weixin.qq.com(查看原文) 阅读量:9 收藏

2024年12月,Apache 官方披露 CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞

01

风险描述

Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器。2024年12月,官方披露 CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞。

由于 Apache Tomcat 在路径校验逻辑中存在缺陷,当在不区分大小写的系统(如Windows)上启用了default servlet 的写入功能(默认关闭)时,攻击者可构造恶意请求绕过路径一致性检,从而可能上传webshell并造成远程代码执行。漏洞利用需要条件竞争,对网络以及机器性能环境等有一定要求。

02

风险评级

CVE-2024-50379 Apache Tomcat 条件竞争文件上传漏洞 高危

03

版本影响范围

Apache Tomcat 11.0.0-M1 ~ 11.0.1 

Apache Tomcat 10.1.0-M1 ~ 10.1.33 

Apache Tomcat 9.0.0.M1 ~ 9.0.97

04

安全建议

1、建议升级至安全版本及其之后。 

2、若无必要建议关闭 Default Servlet 的写入功能(设置readonly为 true)。

3、云安全中心应用漏洞支持针对 Apache Tomcat default servlet PUT 开启风险 进行检测。

05

相关链接

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

https://avd.aliyun.com/detail/AVD-2024-50379

https://avd.aliyun.com/detail/AVD-2024-1770267


文章来源: https://mp.weixin.qq.com/s?__biz=MzI5MzY2MzM0Mw==&mid=2247486366&idx=1&sn=ccc57cb3f6086c4fc9b47ac935f996d7&chksm=ec6fec9edb186588db72f71f31c28f3f0f825bad0e21ab28967620de5b833f562f959fb24a70&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh