Apache软件基金会（ASF）于2024年12月24日发布了其Tomcat服务器软件的重要安全更新，以修复一起可能导致远程代码执行（RCE）的安全漏洞。该漏洞被追踪为CVE-2024-56337，其危害性极高，被描述为对先前安全缺陷CVE-2024-50379的不完全修复，后者的CVSS评分高达9.8。CVE-2024-50379是在2024年12月17日被修复的，与CVE-2024-56337同属于时间检查与使用（TOCTOU）竞争条件漏洞。

根据项目维护者的最新建议，使用在大小写不敏感文件系统上的Tomcat，并且其默认servlet写入功能启用（只读初始化参数非默认设置为false）的用户，可能需要根据其所使用的Java版本进行额外配置，以完全防止CVE-2024-50379带来的风险。Apache指出，两个缺陷都可能导致在启用写入的情况下，代码在大小写不敏感的文件系统上被执行。

在特定负载情况下并发读取和上传同一文件的操作，可能会绕过Tomcat的大小写敏感性检查，从而导致上传文件被错误地视为Java服务器页面（JSP），进而引发远程代码执行。关于CVE-2024-50379的警告内容中，Apache曾详细描述了这一风险。

此漏洞影响的Tomcat版本如下：

• Apache Tomcat 11.0.0-M1至11.0.1（已在11.0.2或更高版本中修复）
• Apache Tomcat 10.1.0-M1至10.1.33（已在10.1.34或更高版本中修复）
• Apache Tomcat 9.0.0.M1至9.0.97（已在9.0.98或更高版本中修复）

为了减少风险，用户需要根据自己运行的Java版本完成以下配置更改：

• 对于Java 8或Java 11，明确设置系统属性sun.io.useCanonCaches为false（该属性默认设置为true）。
• 对于Java 17，如果该属性已设置，则需将其更改为false（默认值为false）。
• 对于Java 21及更高版本，无需采取任何措施，因为该系统属性已被移除。

ASF对识别和报告此安全漏洞的研究人员Nacl、WHOAMI、Yemoli以及Ruozhi表示感谢；同时也对独立报告CVE-2024-56337并提供概念证明（PoC）代码的KnownSec 404团队致以认可。此外，Zero Day Initiative（ZDI）最近披露了一种在Webmin中存在的另一个关键漏洞（CVE-2024-12828，CVSS评分：9.9），该漏洞允许经过身份验证的远程攻击者执行任意代码。ZDI表示，“特定缺陷存在于CGI请求的处理过程中，缺乏对用户提供的字符串进行适当验证，导致其被用来执行系统调用。攻击者可以利用此漏洞在root上下文中执行代码。”

信息安全领域的专家认为，此类漏洞的不断曝光显示了网络安全防护的必要性，及时更新和配置是防止攻击的重要措施。无论是企业还是个人用户，都应密切关注Apache以及相关软件的安全公告，快速对应以减少潜在的网络攻击风险。

随着网络攻击方式日益多样化，且攻击者的技术手段不断进步，企业需要加强防护系统的建设，增强对信息安全的重视。尤其对于重要的应用程序和基础设施，必须及时的监测和更新，从而保障用户数据和系统的安全。

在当前这个数据飞速增长的时代，网络安全的挑战将会更加严峻。CVE-2024-56337的曝光与对称安全缺陷的跟进修复，表明了社区在面对漏洞威胁时的快速反应能力，然而这也提醒着所有使用相关软件的用户，保持警惕并及时采取行动。适用于TCM（Trusted Cloud Management，可信云管理）的策略，能够帮助企业在数据防护中作出更科学、更合理的决策。

总之，CVE-2024-56337警示我们，采取主动的安全态度至关重要。无论是通过技术上的自主防护，还是利用现有的安全工具，组织和个人都应重视对潜在风险的评估与应对，确保安全框架的稳固与可靠。安全研究者与开发者的积极互动，能够在一场场网络安全的博弈中，让技术与道德持续向前推进。此刻，只有打破信息孤岛，形成广泛的信息共享与反馈机制，才能够构筑起一个更加安全的网络环境。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！