关于Apache Tomcat远程代码执行漏洞(CVE-2024-50379)的安全告知
时间:2024-12-19 18:12:34来源:信息安全部作者:开yun体育官网入口
Apache Tomcat是由Apache软件基金会下属的Jakarta项目开发的Servlet容器。
漏洞详情
该漏洞源于 Windows 文件系统与 Tomcat 在路径大小写敏感性处理上的不一致。攻击者利用了 Tomcat 路径校验逻辑中的缺陷,通过绕过路径一致性检查,将原本无法解析的文件(如大小写不同的 JSP 文件)转为可解析状态。
当默认 Servlet 的 readonly 参数被设置为 false(非默认配置)并允许使用 PUT 方法上传文件时,攻击者能够上传包含恶意 JSP 代码的文件并通过条件竞争不断发送请求,触发 Tomcat 对其解析和执行,最终实现远程代码执行。
影响范围
Apache Tomcat 11.0.0-M1 to 11.0.1
Apache Tomcat 10.1.0-M1 to 10.1.33
Apache Tomcat 9.0.0.M1 to 9.0.97
漏洞复现
修复建议
1.禁用文件写入功能,禁止通过 HTTP PUT 请求上传文件,确保readonly=true
2.启用大小写敏感检查,确保DefaultServlet的配置未禁用大小写敏感性;
3.升级 Tomcat,检查并应用 Tomcat 的安全补丁,确保使用最新版本。
产品支持
云安服-安全监测平台:默认支持该产品的指纹识别,已更新漏洞检测规则,已支持该漏洞的在线检测。
昆仑漏洞扫描平台专业漏洞检测工具,已更新漏洞检测规则,已支持该漏洞的在线检测。
实战化攻防技能演训平台:模拟真实攻防仿真场景,提升蓝军、红军实战应对能力训练平台。
云瞳云WAF:为中小企业提供一键化接入和专业级防护,有效应对 Web攻击、入侵、漏洞利用、挂马、篡改、后门、爬虫等 Web业务安全防护问题。
参考链接
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r