【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-50379)安全风险通告

主要观点总结

这篇文章介绍了Apache Tomcat远程代码执行漏洞（CVE-2024-50379）的详细信息。该漏洞由于Tomcat在验证文件路径时的缺陷，当readonly参数设置为非默认值false，且服务器允许通过PUT方法上传文件时，攻击者可以上传含有恶意JSP代码的文件，实现远程代码执行。该漏洞影响范围较大，建议客户尽快进行自查和防护。

关键观点总结

关键观点1: 漏洞概述

Apache Tomcat存在远程代码执行漏洞（CVE-2024-50379），影响多个版本，包括11.0.0-M1到11.0.2，10.1.0-M1到10.1.34，以及9.0.0.M1到9.0.98。

关键观点2: 漏洞影响

该漏洞允许攻击者在特定条件下绕过Tomcat的大小写检查，上传恶意文件并执行远程代码，可能导致服务器被完全控制，数据泄露或服务中断。

关键观点3: 漏洞描述

该漏洞的产生是由于Tomcat在验证文件路径时的缺陷，当readonly参数设置为非默认值false，攻击者可以通过上传含有恶意JSP代码的文件，利用条件竞争使得Tomcat解析并执行这些文件。

关键观点4: 处置建议

建议客户尽快采取以下措施进行处置：1. 升级Apache Tomcat到最新版本；2. 在不影响业务的前提下将conf/web.xml文件中的readOnly参数设置为true或直接注释该参数；3. 禁用PUT方法并重启Tomcat服务以启用新的配置。