1,关于漏洞
Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。
二、 漏洞描述
Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :Properties:
server.tomcat.default-servlet-config.readonly=true
yml :
server:
tomeat:
default-servlet-config:
readonly: true
Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式
李三醒2024-12-21 15:30
相关推荐
程序猿小蒜40 分钟前
基于springboot的校园社团信息管理系统开发与设计爱淋雨的鼬先生1 小时前
SpringBoot 概述shepherd1261 小时前
破局延时任务(下):Spring Boot + DelayQueue 优雅实现分布式延时队列(实战篇)程序员零一1 小时前
Spring Boot 多 RabbitMQ 连接集成指南安冬的码畜日常1 小时前
【JUnit实战3_28】第十七章:用 JUnit 5 实测 SpringBoot 项目李慕婉学姐1 小时前
Springboot的民宿管理系统的设计与实现29rhm9uh(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面。李慕婉学姐2 小时前
【开题答辩过程】以《基于微信小程序垃圾分类图像识别技术实现》为例,不会开题答辩的可以进来看看Kay_Liang2 小时前
Spring中@Controller与@RestController核心解析陈果然DeepVersion2 小时前
Java大厂面试真题:Spring Boot+Kafka+AI智能客服场景全流程解析(七)刘一说3 小时前
深入解析 Spring Boot 数据访问:Spring Data JPA 与 MyBatis 集成实战