Apache 软件基金会 (ASF) 发布了安全更新，以解决其 Tomcat 服务器软件中的一个重要漏洞，该漏洞可能在某些条件下导致远程代码执行 (RCE)。

该漏洞被追踪为CVE-2024-56337，被描述为CVE-2024-50379（CVSS 评分：9.8）的不完整缓解措施，CVE-2024-50379 是同一产品中的另一个严重安全漏洞，此前已于 2024 年 12 月 17 日得到解决。

项目维护人员在上周的公告中表示：“在不区分大小写的文件系统上运行 Tomcat，并且默认启用了 servlet 写入（将只读初始化参数设置为非默认值 false）的用户可能需要进行额外配置才能完全缓解 CVE-2024-50379，具体取决于他们在 Tomcat 中使用哪个版本的 Java。”

这两个缺陷都是检查时使用时（TOCTOU）竞争条件漏洞，当启用默认 servlet 进行写入时，可能导致在不区分大小写的文件系统上执行代码。

Apache 在 CVE-2024-50379 警报中指出：“在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查，并导致上传的文件被视为 JSP，从而导致远程代码执行。”

CVE-2024-56337 影响以下版本的 Apache Tomcat -

Apache Tomcat 11.0.0-M1 至 11.0.1（在 11.0.2 或更高版本中修复）
Apache Tomcat 10.1.0-M1 至 10.1.33（在 10.1.34 或更高版本中修复）
Apache Tomcat 9.0.0.M1 至 9.0.97（在 9.0.98 或更高版本中修复）
此外，用户需要根据所运行的 Java 版本执行以下配置更改 -

Java 8 或 Java 11 - 将系统属性 sun.io.useCanonCaches 明确设置为 false（默认为 true）
Java 17 - 如果已设置，则将系统属性 sun.io.useCanonCaches 设置为 false（默认为 false）
Java 21 及更高版本 - 无需采取任何措施，因为系统属性已被删除

ASF 感谢安全研究人员 Nacl、WHOAMI、Yemoli 和 Ruozhi 发现并报告了这两个漏洞。它还感谢 KnownSec 404 团队独立报告了 CVE-2024-56337 以及概念验证 (PoC) 代码。

此次披露之际，零日计划 (ZDI) 分享了 Webmin 中的一个严重漏洞 (CVE-2024-12828，CVSS 评分：9.9) 的详细信息，该漏洞允许经过身份验证的远程攻击者执行任意代码。

ZDI表示： “该特定缺陷存在于 CGI 请求的处理中。该问题源于在使用用户提供的字符串执行系统调用之前未对其进行适当验证。攻击者可以利用此漏洞在 root 上下文中执行代码。”