Apache 软件基金会发布了重要的安全更新,以解决广泛使用的开源 Web 服务器和 servlet 容器 Apache Tomcat 中的两个漏洞。其中一个漏洞可允许攻击者远程执行任意代码,从而可能危及系统和敏感数据。

另一个更严重的漏洞名为 CVE-2024-50379,其严重性等级为 “重要”。该漏洞存在于默认 servlet 中,可在特定条件下被利用,主要是当 servlet 配置为允许写入访问且底层文件系统不区分大小写时。攻击者可以通过上传伪装成合法文件的恶意文件来利用这个漏洞,最终导致远程代码执行(RCE)。

第二个漏洞被追踪为 CVE-2024-54677,它是一个拒绝服务(DoS)漏洞,影响 Apache Tomcat 附带的 “examples ”网络应用程序。攻击者可利用该漏洞通过上传过量数据触发 OutOfMemoryError,从而可能导致服务器崩溃并中断服务。虽然该漏洞的严重性评级为 “低”,但解决该漏洞以确保 Tomcat 服务器的稳定性和可用性仍然至关重要。

受影响的版本:

该漏洞影响多种 Apache Tomcat 版本,包括

Apache Tomcat 11.0.0-M1 至 11.0.1
Apache Tomcat 10.1.0-M1 至 10.1.33
Apache Tomcat 9.0.0.M1 至 9.0.97

缓解措施:

Apache 软件基金会敦促所有用户立即将其 Tomcat 安装更新至最新版本。以下版本包含对这两个漏洞的修复:

Apache Tomcat 11.0.2 或更高版本
Apache Tomcat 10.1.34 或更高版本
Apache Tomcat 9.0.98 或更高版本

建议管理员查看 Apache 的官方安全公告,并尽快应用必要的更新,以降低被利用的风险。这对于暴露于互联网或处理敏感信息的系统尤为重要。

文章原文链接:https://www.anquanke.com/post/id/302819