Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式

李三醒2024-12-21 15:30

1,关于漏洞

Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。

二、 漏洞描述

Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :

Properties:

server.tomcat.default-servlet-config.readonly=true

yml :

server:

tomeat:

default-servlet-config:

readonly: true

相关推荐
泉城老铁22 分钟前
Springboot对接mqtt
java·spring boot·后端
q***98521 小时前
VS Code 中如何运行Java SpringBoot的项目
java·开发语言·spring boot
allbs2 小时前
spring boot项目excel导出功能封装——3.图表导出
spring boot·后端·excel
wasp5202 小时前
Spring AI 代码分析(十)--Spring Boot集成
人工智能·spring boot·spring
unclecss2 小时前
把 Spring Boot 的启动时间从 3 秒打到 30 毫秒,内存砍掉 80%,让 Java 在 Serverless 时代横着走
java·jvm·spring boot·serverless·graalvm
q***16082 小时前
Tomcat的server.xml配置详解
xml·java·tomcat
n***84072 小时前
Tomcat 乱码问题彻底解决
java·tomcat
Billow_lamb3 小时前
Spring Boot2.x.x 全局错误处理
java·spring boot·后端
雁于飞3 小时前
分布式基础
java·spring boot·分布式·spring·wpf·cloud native
tzhou644523 小时前
Nginx + Tomcat 实战:反向代理、负载均衡与动静分离
nginx·tomcat·负载均衡
热门推荐
01GitHub 镜像站点02【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连03BongoCat - 跨平台键盘猫动画工具04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Linux下V2Ray安装配置指南07Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南08Labelme从安装到标注:零基础完整指南09全球最强模型Grok4,国内已可免费使用!(附教程)10Spring Boot 4.0 发布总结:新特性、依赖变更与升级指南