Apache Tomcat新漏洞允许攻击者执行远程代码

据Cyber Security News消息，新漏许攻安全研究人员在流行的洞允代码开源 Web 服务器 Apache Tomcat和servlet 容器中发现了两个严重漏洞 ，可能允许攻击者执行远程代码并导致拒绝服务
。执行

第一个漏洞被追踪为 CVE-2024-50379 ，远程 影响 Apache Tomcat  11.0.0-M1 到 11.0.1、新漏许攻10.1.0-M1 到 10.1.33 和 9.0.0.M1 到 9.0.97版本 。洞允代码如果默认 servlet 在不区分大小写的执行文件系统上配置了写入权限，免费模板攻击者可在并发读取和上传操作期间利用竞争条件 。远程这种绕过 Tomcat 大小写敏感性检查的新漏许攻做法会导致上传的文件被视为 JSP，最终导致远程代码执行。洞允代码

第二个漏洞被追踪为 CVE-2024-54677，执行虽然严重性较低 ，远程但仍可能构成重大威胁。模板下载新漏许攻它影响相同版本的洞允代码 Apache Tomcat ，可使攻击者触发拒绝服务攻击。执行 该漏洞源于 Tomcat 提供的 Web 应用程序示例，其中许多示例无法限制上传的数据大小 ，可能会导致 OutOfMemoryError ，源码下载从而导致拒绝服务
。

值得注意的是，默认情况下 ，示例网络应用程序只能从 localhost 访问，这在一定程度上限制了潜在的攻击面 。源码库

目前Apache 已经发布了解决这些安全漏洞的补丁 ，敦促用户立即升级：

Apache Tomcat 11.0.2 或更高版本Apache Tomcat 10.1.34 或更高版本Apache Tomcat 9.0.98 或更高版本

这些漏洞的发现突显了在网络服务器环境中定期进行安全审计和及时打补丁的重要性。由于 Apache Tomcat 在企业环境中的广泛使用，因此这些漏洞的亿华云潜在影响十分巨大。

最近，Apache还披露了一个CVSS 4.0 评分高达9.5的高危漏洞，影响Apache Struts 2.0.0 到 2.3.37 、2.5.0 到 2.5.33 以及 6.0.0 到 6.3.0.2版本，攻击者可以操纵文件上传参数以启用路径遍历，在某些情况下，香港云服务器这可能导致上传可用于执行远程代码执行的恶意文件
 。