Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式

1,关于漏洞

Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。

二、 漏洞描述

Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :

Properties:

server.tomcat.default-servlet-config.readonly=true

yml :

server:

tomeat:

default-servlet-config:

readonly: true

相关推荐
Albert Edison3 小时前
【最新版】IntelliJ IDEA 2025 创建 SpringBoot 项目
java·spring boot·intellij-idea
六毛的毛6 小时前
Springboot开发常见注解一览
java·spring boot·后端
开开心心就好8 小时前
免费PDF处理软件,支持多种操作
运维·服务器·前端·spring boot·智能手机·pdf·电脑
猴哥源码8 小时前
基于Java+SpringBoot的农事管理系统
java·spring boot
没有名字的小羊9 小时前
8.Docker镜像讲解
运维·docker·容器·tomcat
光军oi10 小时前
java微服务(Springboot篇)——————IDEA搭建第一个Springboot入门项目
java·spring boot·微服务
猴哥源码11 小时前
基于Java+SpringBoot的健身房管理系统
java·spring boot
猴哥源码11 小时前
基于Java+SpringBoot的三国之家网站
java·spring boot
Spirit_NKlaus11 小时前
解决HttpServletRequest无法获取@RequestBody修饰的参数
java·spring boot·spring
不死的精灵12 小时前
【Java21】在spring boot中使用ScopedValue
java·spring boot·后端