【安全资讯】Apache Tomcat修复RCE和DoS漏洞：CVE-2024-50379与CVE-2024-54677

概要：

Apache软件基金会近日发布了重要的安全更新，以修复Apache Tomcat中的两个漏洞。作为广泛使用的开源网络服务器和Servlet容器，这些漏洞的存在可能导致系统和敏感数据的泄露，尤其是其中一个漏洞的影响尤为严重。

主要内容：

其中一个漏洞被标识为CVE-2024-50379，具有“重要”严重性评级。该漏洞存在于默认的Servlet中，攻击者可以在特定条件下利用该漏洞，尤其是在Servlet配置允许写入访问且底层文件系统不区分大小写时。攻击者可以通过上传伪装成合法文件的恶意文件来利用此漏洞，最终导致远程代码执行（RCE）。

另一个漏洞CVE-2024-54677是一个拒绝服务（DoS）漏洞，影响Apache Tomcat附带的“示例”Web应用程序。攻击者可以通过上传大量数据触发OutOfMemoryError，可能导致服务器崩溃和服务中断。尽管该漏洞的严重性评级为“低”，但仍需及时修复，以确保Tomcat服务器的稳定性和可用性。

受影响的版本包括Apache Tomcat 11.0.0-M1至11.0.1、10.1.0-M1至10.1.33以及9.0.0.M1至9.0.97。Apache软件基金会敦促所有用户立即更新到最新版本，以降低被利用的风险，特别是对于暴露在互联网或处理敏感信息的系统。