【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)安全风险通告

发布于 作者:

【已复现】Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)安全风险通告

奇安信 CERT 2024-12-21 05:26

● 
点击↑蓝字关注我们,获取更多安全风险通告

漏洞概述

漏洞名称

Apache Tomcat 远程代码执行漏洞

漏洞编号

QVD-2024-51611,CVE-2024-56337

公开时间

2024-12-21

影响量级

十万级

奇安信评级

高危

CVSS 3.1分数

9.8

威胁类型

代码执行

利用可能性

POC状态

已公开

在野利用状态

未发现

EXP状态

未公开

技术细节状态

已公开

利用条件:在Windows系统下启用PUT请求方式,并将readonly 初始化参数设置为非默认值 false,系统属性sun.io.useCanonCaches为true(Java 8或Java 11默认为true、Java 17默认为false、Java 21 及更高版本不受影响)
危害描述:该漏洞允许攻击者在特定条件下绕过Tomcat的大小写检查,上传恶意文件并执行远程代码,可能导致服务器被完全控制,数据泄露或服务中断。

01

漏洞详情

>
>
>
>

影响组件

Apache Tomcat是一个开源的Java Servlet容器,广泛用于运行Java Web应用程序。它实现了Java Servlet和JavaServer Pages (JSP) 技术,提供了一个运行环境来处理HTTP请求、生成动态网页,并支持WebSocket通信。Tomcat以其稳定性、灵活性和易用性而受到开发者的青睐,是开发和部署Java Web应用的重要工具之一。

>
>
>
>

漏洞描述

近日,奇安信CERT监测到官方修复Apache Tomcat 远程代码执行漏洞(CVE-2024-56337), 该漏洞是由于CVE-2024-50379修复不完善,在不区分大小写的文件系统(如Windows)上,readonly参数被设置为false(非默认配置)且系统属性sun.io.useCanonCaches为true(Java 8或Java 11默认为true、Java 17默认为false、Java 21 及更高版本不受影响),攻击者就可以上传含有恶意JSP代码的文件。通过不断地发送请求利用条件竞争,使得Tomcat解析并执行这些恶意文件,从而实现远程代码执行。目前该漏洞POC已在互联网上公开,
鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

02

影响范围

>
>
>
>

影响版本

11.0.0-M1 <= Apache Tomcat <= 11.0.2

10.1.0-M1 <= Apache Tomcat <= 10.1.34

9.0.0.M1 <= Apache Tomcat <= 9.0.98

>
>
>
>

其他受影响组件

03

复现情况

目前,奇安信威胁情报中心安全研究员已成功复现Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)****,截图如下:

04

处置建议

>
>
>
>

安全更新

Apache 官方已发布安全通告并发布了修复版本,请尽快下载安全版本修复漏洞:

Apache Tomcat 11.0.2

Apache Tomcat 10.1.34

Apache Tomcat 9.0.98

除了升级修复版本,系统属性 sun.io.useCanonCaches 必须设置为 false

在Java 8或Java 11上运行:必须显式将系统属性 sun.io.useCanonCaches 设置为 false(默认为 true)

在Java 17上运行:如果设置了系统属性 sun.io.useCanonCaches,则必须将其设置为 false(默认为 false)

在Java 21及更高版本上运行:不需要进一步配置(系统属性和有问题的缓存已被移除)

官方下载链接:

11版本:https://tomcat.apache.org/download-11.cgi

10版本:https://tomcat.apache.org/download-10.cgi

9版本:https://tomcat.apache.org/download-90.cgi

修复缓解措施:

  1. 在不影响业务的前提下将 conf/web.xml文件中的 readOnly 参数设置为 true 或直接注释该参数;

  2. 禁用 PUT 方法并重启 Tomcat 服务以启用新的配置;

  3. 系统属性sun.io.useCanonCaches必须为 false(Java 21 及更高版本不受影响)。

>
>
>
>

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)的防护。

05

参考资料

[1]https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbp

[2]https://nvd.nist.gov/vuln/detail/CVE-2024-56337

06

时间线

2024年12月21日,奇安信 CERT发布安全风险通告。

07

漏洞情报服务

奇安信ALPH
A威胁分析平台已支持漏洞情报订阅服务:

奇安信 CERT

致力于
第一时间为企业级用户提供权威漏洞情报和有效
解决方案。

点击↓阅读原文,到ALPHA威胁分析平台
订阅更多漏洞信息。