Apache Tomcat 漏洞 CVE-2024-56337 导致服务器遭受 RCE 攻击

发布于 作者:

Apache Tomcat 漏洞 CVE-2024-56337 导致服务器遭受 RCE 攻击

信息安全大事件 2024-12-24 11:53

Apache Software Foundation

ASF
) 发布了一个安全更新,以解决其
Tomcat
服务器软件中的一个重要漏洞,该漏洞在某些情况下可能导致远程代码执行 (
RCE
)。

该漏洞被跟踪为
CVE-2024-56337
,被描述为
CVE-2024-50379

CVSS
评分:
9.8
)的不完整缓解措施,这是同一产品中的另一个严重安全漏洞,之前已于
2024

12

17
日解决。

项目维护者在上周的一份公告中表示:“在启用默认
servlet
写入(
readonly
初始化参数设置为非默认值
false
)的不区分大小写的文件系统上运行
Tomcat
的用户可能需要额外的配置来完全缓解
CVE-2024-50379
,具体取决于他们与
Tomcat
一起使用的
Java
版本。

这两个缺陷都是检查时间使用时间

TOCTOU
) 争用条件漏洞,当启用默认
servlet
写入时,该漏洞可能导致在不区分大小写的文件系统上执行代码。

Apache

CVE-2024-50379
警报中指出:“在加载同一文件时并发读取和上传可以绕过
Tomcat
的区分大小写检查,并导致上传的文件被视为
JSP
,从而导致远程代码执行。

CVE-2024-56337
会影响以下版本的
Apache Tomcat

– Apache Tomcat 11.0.0-M1

11.0.1
(已在
11.0.2
或更高版本中修复)

  • Apache Tomcat 10.1.0-M1

    10.1.33
    (已在
    10.1.34
    或更高版本中修复)

  • Apache Tomcat 9.0.0.M1

    9.0.97
    (已在
    9.0.98
    或更高版本中修复)

此外,用户需要根据正在运行的
Java
版本执行以下配置更改:
– Java 8

Java 11 –
将系统属性
sun.io.useCanonCaches
显式设置为
false
(默认为
true

  • Java 17 –
    将系统属性
    sun.io.useCanonCaches
    设置为
    false
    (如果已设置)(默认为
    false

  • Java 21
    及更高版本

  • 无需执行任何操作,因为
    system
    属性已被删除

ASF
感谢安全研究人员
Nacl

WHOAMI

Yemoli

Ruozhi
发现并报告了这两个缺点。它还感谢
KnownSec 404
团队独立报告了带有概念验证 (
PoC
) 代码的
CVE-2024-56337

此次披露正值
Zero Day Initiative

ZDI
) 分享了
Webmin
中一个关键漏洞(
CVE-2024-12828

CVSS
评分:
9.9
)的详细信息,该漏洞允许经过身份验证的远程攻击者执行任意代码。

“处理
CGI
请求中存在具体缺陷,”
ZDI
表示。“此问题是由于在使用用户提供的字符串执行系统调用之前未对其进行适当验证造成的。攻击者可以利用此漏洞在
root
上下文中执行代码。

敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。

                   
                               扫描二维码,参与调查

END

点击下方,关注公众号

获取免费咨询和安全服务

安全咨询/安全集成/安全运营

专业可信的信息安全应用服务商!

http://www.jsgjxx.com