漏洞风险提示 | Tomcat 条件竞争漏洞导致远程RCE（CVE-2024-50379）

原创 chunn1 边界无限 2024-12-18 09:17

漏洞简介

在Apache Tomcat 9.X、Apache Tomcat 10.X、Apache Tomcat 11.X系列的某些版本中，如果默认 servlet 对大小写不敏感的文件系统(如windows、macos)启用了写入功能（readonly=False），则在负载情况下同时读取和上传同一文件时，可能会绕过 Tomcat 的大小写敏感性检查，导致上传的文件被视为 JSP，从而导致远程代码执行。

漏洞信息

通过编写脚本模拟高并发场景进行条件竞争，成功复现结果如下：

漏洞影响范围

Apache Tomcat 11.0.0-M1-11.0.1

Apache Tomcat 10.1.0-M1-10.1.33

Apache Tomcat 9.0.0.M1-9.0.97

修复方案

1.建议用户升级到版本 11.0.2、10.1.34 或 9.0.08

1. 安装基于RASP技术的靖云甲ADR，可天然免疫该漏洞攻击

---

参考信息

https://www.openwall.com/lists/oss-security/2024/12/17/4

RCE and DoS Vulnerabilities Addressed in Apache Tomcat: CVE-2024-50379 and CVE-2024-54677