Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式

1,关于漏洞

Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。

二、 漏洞描述

Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :

Properties:

server.tomcat.default-servlet-config.readonly=true

yml :

server:

tomeat:

default-servlet-config:

readonly: true

相关推荐
midsummer_woo15 分钟前
基于spring boot的纺织品企业财务管理系统(源码+论文)
java·spring boot·后端
zc-code31 分钟前
Spring Boot + @RefreshScope:动态刷新配置的终极指南
java·spring boot·后端
开往19822 小时前
spring boot整合mybatis
java·spring boot·mybatis
努力的小郑2 小时前
亿级流量下的生死抉择:Apache BeanUtils vs MapStruct性能差距32倍!架构师选型指南
java·spring·apache
努力的小郑2 小时前
BeanUtils拷贝大对决:Spring与Apache Commons的差异与妙用
java·spring·apache
求知摆渡3 小时前
Spring Boot 3.5 + Spring Cloud Stream:邮件发送与幂等实战
java·spring boot·spring cloud
中东大鹅3 小时前
Mybatis Plus 多数据源
java·数据库·spring boot·后端·mybatis
慌糖3 小时前
Spring Boot音乐服务器项目-查询音乐模块
服务器·spring boot·后端
计算机毕业设计小途3 小时前
从不会写代码到高分毕设:他用SpringBoot宠物寄领养网站震惊全班,5步搞定,从零到可运行只需120分钟
java·spring boot
凉冰不加冰3 小时前
Spring Boot自动配置原理深度解析
java·spring boot·后端