Apache Tomcat远程代码执行漏洞 (CVE-2024-56337) 安全风险通告

01 漏洞详情

影响组件

Apache Tomcat是一个开源的Java Servlet容器，广泛用于运行Java Web应用程序。它实现了Java Servlet和JavaServer Pages (JSP) 技术，提供了一个运行环境来处理HTTP请求、生成动态网页，并支持WebSocket通信。Tomcat以其稳定性、灵活性和易用性而受到开发者的青睐，是开发和部署Java Web应用的重要工具之一。

漏洞描述

近日，奇安信CERT监测到官方修复Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)， 该漏洞是由于CVE-2024-50379修复不完善，在不区分大小写的文件系统（如Windows）上，readonly参数被设置为false（非默认配置）且系统属性sun.io.useCanonCaches为true（Java 8或Java 11默认为true、Java 17默认为false、Java 21 及更高版本不受影响），攻击者就可以上传含有恶意JSP代码的文件。通过不断地发送请求利用条件竞争，使得Tomcat解析并执行这些恶意文件，从而实现远程代码执行。目前该漏洞POC已在互联网上公开，鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

11.0.0-M1 <= Apache Tomcat <= 11.0.2

10.1.0-M1 <= Apache Tomcat <= 10.1.34

9.0.0.M1 <= Apache Tomcat <= 9.0.98

其他受影响组件

无

03 复现情况

目前，奇安信威胁情报中心安全研究员已成功复现Apache Tomcat 远程代码执行漏洞(CVE-2024-56337)，截图如下：

04 处置建议

安全更新

Apache 官方已发布安全通告并发布了修复版本，请尽快下载安全版本修复漏洞：

Apache Tomcat 11.0.2

Apache Tomcat 10.1.34

Apache Tomcat 9.0.98

除了升级修复版本，系统属性 sun.io.useCanonCaches 必须设置为 false

在Java 8或Java 11上运行：必须显式将系统属性 sun.io.useCanonCaches 设置为 false（默认为 true）

在Java 17上运行：如果设置了系统属性 sun.io.useCanonCaches，则必须将其设置为 false（默认为 false）

在Java 21及更高版本上运行：不需要进一步配置（系统属性和有问题的缓存已被移除）

官方下载链接：

11版本：https://tomcat.apache.org/download-11.cgi

10版本：https://tomcat.apache.org/download-10.cgi

9版本：https://tomcat.apache.org/download-90.cgi

修复缓解措施：

1. 在不影响业务的前提下将 conf/web.xml文件中的 readOnly 参数设置为 true 或直接注释该参数；

2. 禁用 PUT 方法并重启 Tomcat 服务以启用新的配置；

3. 系统属性sun.io.useCanonCaches必须为 false（Java 21 及更高版本不受影响）。

05 参考资料

[1]https://lists.apache.org/thread/b2b9qrgjrz1kvo4ym8y2wkfdvwoq6qbp

[2]https://nvd.nist.gov/vuln/detail/CVE-2024-56337

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。