漏洞描述
近日,晟晖实验室团队监测到 Apache Tomcat 框架被曝出一个严重的漏洞 CVE-2024-50379,该漏洞源于 Windows 文件系统与 Tomcat 在路径大小写敏感性处理的不一致性,攻击者通过绕过路径一致性检查,利用 Tomcat 路径验证中的缺陷,将原本无法解析的文件(如大小写不同的 JSP 文件)转为可解析状态,并在默认 Servlet 的 readonly 参数设置为 false 且允许使用 PUT 方法上传文件时,上传包含恶意 JSP 代码的文件,触发条件竞争最终导致远程代码执行。
受此漏洞影响的 Apache Tomcat 版本存在安全风险,开发人员和管理员需要立即采取措施,以降低漏洞被利用的风险。漏洞影响
严重性:此漏洞的CVSS评分为 9.8,属于严重漏洞,极易被攻击者利用来执行任意代码。
攻击路径:恶意用户可以通过PUT方法上传恶意文件,触发远程代码执行。
影响范围:以下版本的 Apache Tomcat 存在该漏洞:
11.0.0-M1 <= Apache Tomcat < 11.0.2
10.1.0-M1 <= Apache Tomcat < 10.1.34
9.0.0.M1 <= Apache Tomcat < 9.0.98
该漏洞已在Apache Tomcat 更高版本中修复。
处置建议
1. 修改web.xml文件中的参数
根据业务需求评估,建议将 conf/web.xml 文件中的 readOnly 参数设置为 true 或注释该参数,同时禁用 PUT 方法,并重启 Tomcat 服务以使配置生效,从而临时规避该安全风险。
2. 升级到最新版本
Apache官方已发布安全通告并发布了修复版本,下载安全版本修复漏洞
Tomcat 11.0.2:https://tomcat.apache.org/download-11.cgi
Tomcat 10.1.34:https://tomcat.apache.org/download-10.cgi
Tomcat 9.0.98:https://tomcat.apache.org/download-90.cgi