12月17日Apache基金會發布網頁伺服器系統Tomcat更新11.0.2、10.1.34、9.0.98版,當中修補重大層級的遠端程式碼執行(RCE)漏洞CVE-2024-50379,事隔3日,他們再度發布資安公告指出,上述版本出現修補不完整的現象,呼籲IT人員要儘速採取行動。根據統計全球網路技術使用數據的組織W3C觀察,12月採用Tomcat的網站比例低於0.04%,但它也是少數高流量網站最常採用的平臺。
CVE-2024-50379是涉及檢查時間及使用時間(TOCTOU)的弱點,發生在Tomcat編譯JSP的過程,並在預設的servlet啟用寫入功能(非預設組態)的情況下,攻擊者有機會藉由對相同檔案同時上傳及下載的情況下,繞過Tomcat的檢查,此時上傳的檔案會被視為JSP程式,從而導致遠端任意執行程式碼的資安風險,CVSS風險評為9.8(滿分10分)。
12月20日Apache基金會再度發布公告,他們發現上述新版程式修補並不完整,並將這項弱點登記為CVE-2024-56337。特別的是,該基金會並非再度發布新版軟體予以修補,而是要求用戶必須調整Java元件的部分組態來因應。
熱門新聞
2024-12-24
2024-12-22
2024-08-14
2024-12-20
2024-12-23
Advertisement