Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式

李三醒2024-12-21 15:30

1,关于漏洞

Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。

二、 漏洞描述

Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :

Properties:

server.tomcat.default-servlet-config.readonly=true

yml :

server:

tomeat:

default-servlet-config:

readonly: true

相关推荐
楼兰胡杨31 分钟前
Spring Boot整合Sentinel之QPS限流
spring boot
Coder_Boy_1 小时前
基于SpringAI的智能平台基座开发-(四)
java·人工智能·spring boot·langchain·springai
码界奇点1 小时前
基于Spring Boot的内容管理系统框架设计与实现
java·spring boot·后端·车载系统·毕业设计·源代码管理
乐韵天城3 小时前
SpringBoot中如何手动开启数据库事务
数据库·spring boot
墨着染霜华4 小时前
Spring Boot整合Kaptcha生成图片验证码:新手避坑指南+实战优化
java·spring boot·后端
我爱学习好爱好爱4 小时前
Prometheus监控栈 监控java程序springboot
java·spring boot·prometheus
老华带你飞4 小时前
考试管理系统|基于java+ vue考试管理系统(源码+数据库+文档)
java·开发语言·前端·数据库·vue.js·spring boot·后端
WZTTMoon5 小时前
Spring Boot OAuth2 授权码模式开发实战
大数据·数据库·spring boot
赵得C5 小时前
完整 Oracle 12c 分页 Demo(Spring Boot+MyBatis+PageHelper)
spring boot·oracle·mybatis
机智的人猿泰山6 小时前
spring boot 运行测试类时:Error creating bean with name ‘serverEndpointExporter‘ 问题
java·spring boot·后端
热门推荐
01GitHub 镜像站点02从快手“12·22”直播攻击事件看:一次教科书式的业务层饱和攻击03电脑检测软件—图吧工具箱043D 圣诞树网页代码05Linux下V2Ray安装配置指南06UV安装并设置国内源07在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)08jdk21下载、安装(Windows、Linux、macOS)09Claude Code Skills 实用使用手册10Gemini3 生成的基于手势控制3D粒子圣诞树