【漏洞通告】Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379）

近日，绿盟科技CERT监测到Apache发布安全公告，修复了Apache Tomcat条件竞争代码执行漏洞（CVE-2024-50379）。由于Windows文件系统与Tomcat在路径大小写区分处理上的不一致，当启用了默认servlet的写入功能（设置readonly=false且允许PUT方法），未经身份验证的攻击者可以构造特殊路径绕过Tomcat的路径校验机制，通过条件竞争不断发送请求上传包含恶意JSP代码的文件触发Tomcat对其解析和执行，从而实现远程代码执行。CVSS评分9.8，目前已有PoC公开，请相关用户尽快采取措施进行防护。

Apache Tomcat是一个开源的Java应用服务器，由 Apache 软件基金会开发和维护，广泛用于各种Web应用开发与部署场景中。

参考链接：

https://www.mail-archive.com/[email protected]/msg09703.html

3.1 人工检测

一：从Apache Tomcat官网下载的安装包名称中会包含Tomcat的版本号，如果用户解压后没有更改Tomcat的目录名称，可以通过查看文件夹名称来确定当前使用的版本。

如果解压后的Tomcat目录名称被修改过，或者通过Windows Service Installer方式安装，可使用软件自带的version模块来获取当前的版本。也可以进入Tomcat安装目录的bin目录，运行version.bat（Linux运行version.sh）后，可查看当前的软件版本号。

二、如果该版本在受影响的范围内，再检查conf\web.xml文件中是否开启了PUT方法。打开web.xml文件，如果org.apache.catalina.servlets.DefaultServlet处readonly设置成了false，则说明存在漏洞风险。

4.1 官方升级

目前官方已发布新版本修复了该漏洞，请受影响的用户尽快升级版本进行防护，下载链接：

https://tomcat.apache.org/download-11.cgi

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi