Apache Tomcat發(fā)布安全更新借CVE-2024-56337可遠(yuǎn)程代碼執(zhí)行

安全 PRO 稿源：藍(lán)點(diǎn)網(wǎng) 2024-12-29 05:54

Apache 軟件基金會(huì)即 ASF 發(fā)布安全更新用于修復(fù) Tomcat 服務(wù)器軟件中的重要安全漏洞：CVE-2024-56337，攻擊者借助該漏洞可以在滿足某些條件下遠(yuǎn)程代碼執(zhí)行 (RCE)。

CVE-2024-56337 是此前另一個(gè)漏洞 CVE-2024-50379 (漏洞評(píng)分為 9.8/10 分) 的不完整緩解導(dǎo)致，該漏洞是 12 月 17 日修復(fù)的，但現(xiàn)在由于出現(xiàn)新問(wèn)題只能繼續(xù)發(fā)補(bǔ)丁。

Tomcat 維護(hù)者在公告中表示：

在不區(qū)分大小寫(xiě)的文件系統(tǒng)上運(yùn)行 Apache Tomcat 并且默認(rèn)啟用 servlet 寫(xiě)入 (將制度初始化參數(shù)設(shè)置為非默認(rèn)值 false) 的用戶可能需要額外配置才能完全緩解 CVE-2024-50379 漏洞，具體取決于用戶在 Tomcat 中使用的是哪個(gè)版本的 Java。

這兩個(gè)漏洞都是 TOCTOU 競(jìng)爭(zhēng)條件類的問(wèn)題，當(dāng)啟用默認(rèn) servlet 進(jìn)行寫(xiě)入時(shí)，可能導(dǎo)致在不區(qū)分大小寫(xiě)的文件系統(tǒng)上執(zhí)行代碼。

CVE-2024-50379 漏洞的描述則是：在負(fù)載下同時(shí)讀取和上傳同一文件可以繞過(guò) Tomcat 的大小寫(xiě)敏感檢查，并導(dǎo)致上傳的文件被視為 JSP 從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

CVE-2024-56337 漏洞影響以下版本的 Apache Tomcat：

Apache Tomcat 11.0.0-M1~11.0.1 (修復(fù)版本為 11.0.2+)

Apache Tomcat 10.1.0-M1~10.1.33 (修復(fù)版本為 10.1.34+)

Apache Tomcat 9.0.0.M1~9.0.97 (修復(fù)版本為 9.0.98+)

用戶還需要根據(jù)自己使用的 Java 版本進(jìn)行配置更改：

若使用 Java 8/11，將系統(tǒng)屬性 sun.io.useCanonCaches 明確設(shè)置為 false，默認(rèn)為 true

若使用 Java 17，則需要檢查 sun.io.useCanonCaches 是否為 false，該選項(xiàng)默認(rèn)為 false

若使用 Java 21 及更高版本，則無(wú)需采取任何措施，因?yàn)檫@個(gè)屬性已經(jīng)被刪除

0XU.CN