Apache 修复 Tomcat Web 服务器中的远程代码执行绕过问题

主要观点总结

Apache发布了针对Tomcat Web服务器的重要安全更新，修复了两个可能导致远程代码执行的漏洞CVE-2024-56337和CVE-2024-50379。这两个漏洞涉及到检查时间使用时间（TOCTOU）竞争条件问题，特别是在启用默认Servlet写入并在不区分大小写的文件系统上运行的系统上。最新的补丁和升级计划已实施以提高安全性并降低漏洞风险。

关键观点总结

关键观点1: Apache Tomcat的安全更新解决了两个漏洞CVE-2024-56337和CVE-2024-50379。

这两个漏洞可能导致远程代码执行，是检查时间使用时间（TOCTOU）的竞争条件问题。

关键观点2: 这两个漏洞影响特定版本的Apache Tomcat，建议用户升级到最新版本以避免潜在风险。

受影响的版本包括11.0.0-M1至11.0.1、10.1.0-M1至10.1.33以及9.0.0.M1至9.0.97。

关键观点3: 解决这些问题需要额外的步骤，除了升级之外，用户还需要根据所使用的Java版本执行特定的操作。

例如，对于Java 8或11，建议将系统属性“sun.io.useCanonCaches”设置为false。

关键观点4: Apache团队已经分享了即将推出的Tomcat版本中的安全增强计划。

这些更改旨在自动实施更安全的配置，并降低CVE-2024-50379和CVE-2024-56337被利用的风险。

文章预览

Apache 发布了一个安全更新，解决了 Tomcat Web 服务器中的一个重要漏洞，该漏洞可能导致攻击者实现远程代码执行。 Apache Tomcat 是一种开源 Web 服务器和 Servlet 容器，广泛用于部署和运行基于 Java 的 Web 应用程序。它为 Java Servlet、JavaServer Pages (JSP) 和 Java WebSocket 技术提供运行时环境。 该产品深受运行自定义 Web 应用程序的大型企业和依赖 Java 提供后端服务的 SaaS 提供商的欢迎。云和托管服务集成了 Tomcat 来进行应用程序托管，软件开发人员使用它来构建、测试和部署 Web 应用程序。 新版本中修复的漏洞被追踪为 CVE-2024-56337，并解决了 CVE-2024-50379 的不完整缓解措施，这是一个关键的远程代码执行 (RCE)，供应商已于 12 月 17 日发布了补丁。 人们意识到应用 CVE-2024-50379 的更新不足以保护系统，并决定发布 CVE-2024-56337强调手动操作的必要性。 这两个问题本 ………………………………