2024年12月18日,网上更新披露了Apache Tomcat default servlet条件竞争文件上传RCE漏洞(CVE-2024-50379)。
漏洞描述:由于Apache Tomcat中的JSP编译过程中存在条件竞争漏洞,当在不区分大小写的系统上启用了default servlet 的写入功能(默认关闭)时,并发同时读取和上传同一个文件可以绕过Tomcat 的大小写敏感检查,将可能造成远程代码执行,漏洞利用需要条件竞争,对网络以及机器性能环境等有一定要求。
影响范围:
Apache Tomcat 11.0.0-M1 ~ 11.0.1
Apache Tomcat 10.1.0-M1~ 10.1.33
Apache Tomcat 9.0.0.M1 ~ 9.0.97
风险等级:高危
修复方案:
1.建议升级至安全版本及其之后。
2.若无必要建议关闭DefaultServlet的写入功能(设置readonly为 true)。
3.Apache Tomcat default servlet PUT开启风险进行检测。
进行安全更新方法:
1. https://www.oscs1024.com/hd/MPS-nwgp-fero
2. https://nvd.nist.gov/vuln/detail/CVE-2024-50379
3. https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
