【安全资讯】Apache Tomcat存在远程代码执行漏洞(CVE-2024-56337)
近日,安恒信息CERT监测到Apache Tomcat存在远程代码执行漏洞(CVE-2024-56337),CVE-2024-56337是一个存在于Apache Tomcat中的TOCTOU(Time-of-Check Time-of-Use)竞争条件漏洞。此漏洞源于对先前漏洞(CVE-2024-50379)的不完整修复。若默认servlet是可写的(参数readonly设置值为false,该设置为非默认设置)表示不区分大小写文件系统,在负载下并发读取和上传同一文件可以绕过Tomcat的大小写检查。攻击者可以通过构造恶意请求上传含恶意JSP代码的文件,使其触发解析并执行这些文件,从而导致远程代码执行。
影响版本:
9.0.0.M1 <= Apache Tomcat < 9.0.98
10.1.0-M1 <= Apache Tomcat < 10.1.34
11.0.0-M1 <= Apache Tomcat < 11.0.2
官方修复方案:
官方已发布修复方案,受影响的用户建议更新至安全版本。
下载链接:
https://tomcat.apache.org/download-90.cgi
https://tomcat.apache.org/download-10.cgi
https://tomcat.apache.org/download-11.cgi
如果用户在不区分大小写的文件系统上运行Tomcat,并且默认启用了servlet写入功能(参数readonly设置值为false),则可能需要进行额外配置才能完全缓解CVE-2024-50379,Tomcat与各版本Java对应的缓解措施如下:
在Java 8或Java 11上运行:系统属性sun.io.useCanonCaches必须明确设置为false(默认值为true)
在Java 17上运行:系统属性sun.io.useCanonCaches(如果设置)必须设置为false(默认值为false)
在Java 21及更高版本上运行:无需进一步配置(系统属性和有问题的缓存已被删除)
产品支持情况:
AiLPHA大数据平台、APT攻击预警平台、明鉴漏洞扫描系统、WAF、玄武盾已支持