内容摘要：#安全资讯 ASF 基金会发布安全更新修复 Apache Tomcat 服务器软件中的高危安全漏洞，借助该漏洞攻击者可在服务器上远程执行代码。此漏洞是 12 月 17 日发布的 CVE-2024-50

并且用户需要根据自己使用的服务 Java 版本检查属性设置进行手动修复。

CVE-2024-50379 漏洞的器软全更描述则是：在负载下同时读取和上传同一文件可以绕过 Tomcat 的大小写敏感检查，则无需采取任何措施 ，发击此漏洞是布安 12 月 17 日发布的 CVE-2024-50379 的不完整缓解漏洞，可能导致在不区分大小写的新借行蓝文件系统上执行代码。借助该漏洞攻击者可在服务器上远程执行代码 。助漏查看全文：https://ourl.co/107242

Apache 软件基金会即 ASF 发布安全更新用于修复 Tomcat 服务器软件中的洞攻点网重要安全漏洞
：CVE-2024-56337 ，则需要检查 sun.io.useCanonCaches 是可远否为 false ，

CVE-2024-56337 是程代此前另一个漏洞 CVE-2024-50379 (漏洞评分为 9.8/10 分) 的不完整缓解导致，于是码执现在只能继续发补丁，

Image Credits：Cyber Security News

Tomcat 维护者在公告中表示
：

在不区分大小写的服务文件系统上运行 Apache Tomcat 并且默认启用 servlet 写入 (将制度初始化参数设置为非默认值 false) 的用户可能需要额外配置才能完全缓解 CVE-2024-50379 漏洞，但现在由于出现新问题只能继续发补丁
。器软全更

这两个漏洞都是发击 TOCTOU 竞争条件类的问题，该选项默认为 false

若使用 Java 21 及更高版本，布安默认为 true

若使用 Java 17，新借行蓝

CVE-2024-56337 漏洞影响以下版本的 Apache Tomcat：

Apache Tomcat 11.0.0-M1~11.0.1 (修复版本为 11.0.2+)

Apache Tomcat 10.1.0-M1~10.1.33 (修复版本为 10.1.34+)

Apache Tomcat 9.0.0.M1~9.0.97 (修复版本为 9.0.98+)

用户还需要根据自己使用的 Java 版本进行配置更改：

若使用 Java 8/11，将系统属性 sun.io.useCanonCaches 明确设置为 false ，当启用默认 servlet 进行写入时
，#安全资讯 ASF 基金会发布安全更新修复 Apache Tomcat 服务器软件中的高危安全漏洞，因为这个属性已经被删除

该漏洞是 12 月 17 日修复的，攻击者借助该漏洞可以在满足某些条件下远程代码执行 (RCE)。并导致上传的文件被视为 JSP 从而导致远程代码执行。具体取决于用户在 Tomcat 中使用的是哪个版本的 Java。