1,关于漏洞
Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。
二、 漏洞描述
Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :Properties:
server.tomcat.default-servlet-config.readonly=true
yml :
server:
tomeat:
default-servlet-config:
readonly: true
Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式
李三醒2024-12-21 15:30
相关推荐
gelald10 小时前
SpringBoot - Actuator与监控我登哥MVP10 小时前
【Spring6笔记】 - 11 - JDBCTemplate希望永不加班11 小时前
SpringBoot 自定义 Starter:从零开发一个私有 Starter悟空码字11 小时前
别再System.out了!这份SpringBoot日志优雅指南,让你告别日志混乱一 乐11 小时前
工会管理|基于springboot + vue工会管理系统(源码+数据库+文档)ffqws_12 小时前
Spring Boot:用JWT令牌和拦截器实现登录认证(含测试过程和关键注解讲解)Pocker_Spades_A12 小时前
时序数据库选型指南:容量规划与压测方法(以 Apache IoTDB 为例)yxl_num13 小时前
Docker 完整部署一个包含 Spring Boot(依赖 JDK)、MySQL、Redis、Nginx 的整套服务一只幸运猫.13 小时前
用户58856854055的头像[特殊字符]Spring Boot 多模块项目中 Parent / BOM / Starter 的正确分工程序员阿明14 小时前
spring boot3识别PDF图纸