Apache Tomcat软件是Jakarta Servlet、Jakarta Server Pages、 Jakarta Expression Language、 Jakarta WebSocket、 Jakarta Annotations和 Jakarta Authentication 规范的开源实现。这些规范是 Jakarta EE 平台的一部分。

Apache Tomcat 存在一个远程代码执行漏洞，当默认Servlet的readonly参数被设置为 false时，攻击者可以利用条件竞争，使用PUT方法上传恶意代码并触发执行，导致服务器失陷。

目前受影响的 Apache Tmocat 版本：

9.0.0.M1 ≤ Apache Tomcat < 9.0.98
10.1.0-M1 ≤ Apache Tomcat < 10.1.34
11.0.0-M1 ≤ Apache Tomcat < 11.0.2

Windows 系统

Windows系统中在bin目录下执行./version.bat命令来查看 Tomcat 版本。

1.将conf/web.xml文件中的readOnly参数设置为 true;

2.禁用PUT方法并重启服务器更新配置。

官方修复建议

1.风险资产发现

支持对Apache-Tomcat的主动检测，可批量检出业务场景中该事件的受影响资产情况，相关产品如下：

【深信服主机安全检测响应平台CWPP】 已发布资产检测方案，指纹ID:0006642。

【深信服云镜YJ】 已发布资产检测方案，指纹ID:0006642。

【深信服漏洞评估工具TSS】已发布资产检测方案，指纹ID:0006642。

2.漏洞主动检测

支持对Tomcat 远程代码执行漏洞(CVE-2024-50379)的主动检测，可批量快速检出业务场景中是否存在漏洞风险，相关产品如下：

【深信服云镜YJ】预计2024年12月22日发布检测方案，规则ID:SF-0005-21035。

【深信服漏洞评估工具TSS】预计2024年12月23日发布检测方案，规则ID:SF-0005-21035。

【深信服安全托管服务MSS】预计2024年12月23日发布检测方案（需要具备TSS组件能力），规则ID:SF-0005-21035。

【深信服安全检测与响应平台XDR】预计2024年12月22日发布检测方案（需要具备云镜组件能力），规则ID:SF-0005-21035。

3.漏洞安全监测

支持对Tomcat 远程代码执行漏洞(CVE-2024-50379)的监测，可依据流量收集实时监控业务场景中的受影响资产情况，快速检查受影响范围，相关产品及服务如下：

【深信服安全感知管理平台SIP】预计2024年12月31日发布监测方案，规则ID:11027850。

【深信服安全托管服务MSS】预计2024年12月31日发布监测方案（需要具备SIP组件能力），规则ID:11027850。

【深信服安全检测与响应平台XDR】预计2024年12月31日发布监测方案，规则ID:11027850。

4.漏洞安全防护

支持对Tomcat 远程代码执行漏洞(CVE-2024-50379)的防御，可阻断攻击者针对该事件的入侵行为，相关产品及服务如下：

【深信服下一代防火墙AF】预计2024年12月31日发布防护方案，规则ID:11027850。

【深信服Web应用防火墙WAF】预计2024年12月31日发布防护方案，规则ID:11027850。

【深信服安全托管服务MSS】预计2024年12月31日发布防护方案（需要具备AF组件能力），规则ID:11027850。

【深信服安全检测与响应平台XDR】预计2024年12月31日发布防护方案（需要具备AF组件能力），规则ID:11027850。

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

深瞳漏洞实验室监测到Tomcat 远程代码执行漏洞信息。

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。