1,关于漏洞
Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。
二、 漏洞描述
Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :Properties:
server.tomcat.default-servlet-config.readonly=true
yml :
server:
tomeat:
default-servlet-config:
readonly: true
Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式
李三醒2024-12-21 15:30
相关推荐
杨荧5 分钟前
【开源免费】基于Vue和SpringBoot的靓车汽车销售网站(附论文)水w7 分钟前
springBoot Maven 剔除无用的jar引用spencer_tseng10 分钟前
apache-tomcat-6.0.44.exe Win10夜半被帅醒14 分钟前
网站灰度发布?Tomcat的8005、8009、8080三个端口的作用什么是CDNLVS、Nginx和Haproxy的优缺点服务器无法开机时xiangzhihong81 小时前
Spring Boot基于Jsoup的爬虫实现casual_clover1 小时前
搭建一个简单的Web服务器(Apache2.4)loop lee2 小时前
计算机网络 - HTTP 协议和万维网Q_19284999062 小时前
基于Spring Boot的新能源汽车个性化推荐系统