服务公告

全部公告 > 安全公告 > Apache Tomcat 远程代码执行漏洞预警(CVE-2024-50379)

Apache Tomcat 远程代码执行漏洞预警(CVE-2024-50379)

2024-12-18

一、概要

近日，华为云关注到Apache Tomcat官方发布安全公告，披露Apache Tomcat 在特定版本中存在一处远程代码执行漏洞（CVE-2024-50379）。由于Apache Tomcat在校验文件路径时存在缺陷，如果对不区分大小写的文件系统启用了默认 servlet 的写入功能（将 readonly 初始化参数设置为非默认值 false），则在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查，并导致上传的文件被视为 JSP，从而导致远程代码执行。

Apache Tomcat是一个流行的Java Web应用服务器。华为云提醒使用Apache Tomcat的用户及时安排自检并做好安全加固。

参考链接：

https://lists.apache.org/thread/y6lj6q1xnp822g6ro70tn19sgtjmr80r

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Apache Tomcat 11.0.0-M1 ~ 11.0.1

Apache Tomcat 10.1.0-M1 ~ 10.1.33

Apache Tomcat 9.0.0.M1 ~ 9.0.97

安全版本：

Apache Tomcat 11.0.2

Apache Tomcat 10.1.34

Apache Tomcat 9.0.98

四、漏洞处置

目前官方已在高版本中修复了该漏洞，请受影响的用户升级至安全版本：

Apache Tomcat 11版本：https://tomcat.apache.org/download-11.cgi

Apache Tomcat 10版本：https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9版本：https://tomcat.apache.org/download-90.cgi

服务公告

Apache Tomcat 远程代码执行漏洞预警(CVE-2024-50379)

2024-12-18

7*24

备案

专业服务

退订

建议反馈

售前咨询热线