1,关于漏洞
Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。
二、 漏洞描述
Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :Properties:
server.tomcat.default-servlet-config.readonly=true
yml :
server:
tomeat:
default-servlet-config:
readonly: true
Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式
李三醒2024-12-21 15:30
相关推荐
程序员阿伦24 分钟前
璋㈤鏈虹殑Java澶у巶闈㈣瘯璁帮細浠嶴pring Boot鍒癒ubernetes锛�3杞湡棰樺叏瑙f瀽锛�wuyikeer30 分钟前
Spring BOOT 启动参数zdl6862 小时前
springboot集成onlyoffice(部署+开发)莫爷2 小时前
JSON 性能优化实战:大数据量 JSON 的处理技巧可观测性用观测云2 小时前
SpringBootAI 接入观测云 MCP 最佳实践BUG胡汉三2 小时前
自建在线文档编辑服务:基于 Collabora CODE + Spring Boot + Vue 3 的完整实现D愿你归来仍是少年3 小时前
Flink 并行度变更时 RocksDB 状态迁移的关键机制与原理荒古前4 小时前
Spring Boot + MyBatis 启动报错:不允许有匹配 “[xX][mM][lL]“ 的处理指令目标mldlds4 小时前
Spring Boot 实战:轻松实现文件上传与下载功能xxjj998a4 小时前
Spring Boot 整合 Apollo 配置中心实战