一���、漏洞描述
Apache Tomcat是美國(guó)阿帕奇(Apache)軟件基金會(huì)的一款輕量級(jí)Web應(yīng)用服務(wù)器����。該程序?qū)崿F(xiàn)了對(duì)Servlet和JavaServer Page(JSP)的支持�����。
Apache Tomcat中存在遠(yuǎn)程代碼執(zhí)行漏洞�,該漏洞是由于web.xml中開(kāi)啟readonly為false的配置,攻擊者可利用該漏洞以條件競(jìng)爭(zhēng)進(jìn)行文件上傳導(dǎo)致命令執(zhí)行�。
二、漏洞風(fēng)險(xiǎn)等級(jí)
漏洞威脅等級(jí):高危
三�����、影響范圍
Apache Tomcat 11.0.0-M1 to 11.0.1
Apache Tomcat 10.1.0-M1 to 10.1.33
Apache Tomcat 9.0.0.M1 to 9.0.97
四��、修復(fù)建議
1����、根據(jù)業(yè)務(wù)需求評(píng)估,將 conf/web.xml文件中的 readonly 參數(shù)設(shè)置為 true 或注釋該參數(shù)�����,禁用 PUT 方法并重啟 Tomcat 服務(wù)以使配置生效,從而臨時(shí)規(guī)避該安全風(fēng)險(xiǎn)�。
2、建議升級(jí)至安全版本及其之后����。
參考鏈接:
https://www.cnvd.org.cn/flaw/show/CNVD-2024-48575
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-50379
https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r
文章來(lái)源:國(guó)家信息安全漏洞共享平臺(tái)
