一、基本情况
Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。
二、 漏洞描述
Apache Tomcat中修复了个TOCTOU竞争条件远程代码执行漏洞(CVE-2024-50379),该漏洞的CVSS评分为9.8。Apache Tomcat中JSP编译期间存在检查时间使用时间(TOCTOU)竞争条件漏洞,当Apache Tomcat的默认servlet被配置为允许写入 (即readonly初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP文件处理,从而导致远程代码执行。
三、 影响范围
Apache Tomcat 11.0.0-M1 - 11.0.1
Apache Tomcat 10.1.0-M1 - 10.1.33
Apache Tomcat 9.0.0.M1 - 9.0.97
四、 修复建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Apache Tomcat >= 11.0.2
Apache Tomcat >= 10.1.34
Apache Tomcat >= 9.0.98
