【处置手册】Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379/CVE-2024-56337）

主要观点总结

文章介绍了Apache Tomcat存在的条件竞争代码执行漏洞CVE-2024-50379和CVE-2024-56337，绿盟科技已经成功复现这些漏洞。漏洞允许未经身份验证的攻击者通过构造特殊路径绕过Tomcat的路径校验机制，通过条件竞争发送请求上传包含恶意JSP代码的文件，触发Tomcat对其解析和执行，从而实现远程代码执行。文章提供了影响范围、漏洞检测方法和漏洞防护建议。

关键观点总结

关键观点1: 漏洞概述

Apache Tomcat存在条件竞争代码执行漏洞CVE-2024-50379和CVE-2024-56337，攻击者可利用这些漏洞实现远程代码执行。

关键观点2: 影响范围

受影响版本包括Apache Tomcat 11.0.0-M1 <= 版本 <= 11.0.1、10.1.0-M1 <= 版本 <= 10.1.33和9.0.0.M1 <= 版本 <= 9.0.97。仅影响在Windows系统下启用PUT请求方法，并将readonly参数设置为非默认值false，且系统属性sun.io.useCanonCaches为true（Java 8与Java 11默认为true，Java 17默认配置为false，Java 21及更高版本不受影响）的用户。

关键观点3: 漏洞检测

可通过查看Tomcat的版本号和web.xml文件中的配置来检测是否存在漏洞。另外，绿盟科技远程安全评估系统（RSAS）与综合威胁探针（UTS）已具备对此次漏洞的扫描与检测能力。

关键观点4: 漏洞防护

官方已发布新版本修复该漏洞，请受影响的用户尽快升级版本。同时，提供了产品防护和临时防护措施。绿盟科技拥有对此安全公告的修改和解释权。

文章预览

通告编号:NS-2024-0037-1 2024-12-23 TA G： Tomcat、条件竞争、代码执行、CVE-2024-50379、CVE-2024-56337 漏洞危害： 攻击者利用该漏洞，可实现远程代码执行 版本： 1.1 1 漏洞概述 近日，绿盟科技CERT监测到Apache发布安全公告，修复了Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379/CVE-2024-56337）。CVSS评分9.8，目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。 CVE-2024-50379：由于Windows文件系统与Tomcat在路径大小写区分处理上的不一致，当启用了默认servlet的写入功能（设置readonly=false且允许PUT方法），未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制，通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行，从而实现远程代码执行。 CVE-2024-56337：该漏洞源于对CVE-2024-50379的临时措施不完善，需要进行额外的配置来修复 ………………………………