公布日期：2024-12-26 發布單位： 資訊科  
上週Apache基金會針對網頁伺服器系統Tomcat修補重大層級的遠端程式碼執行（RCE）漏洞CVE-2024-50379，但後來他們發現，相關更新軟體出現修補不全的情況，並指出用戶必須調整Java組態因應。12月17日Apache基金會發布網頁伺服器系統Tomcat更新11.0.2、10.1.34、9.0.98版，當中修補重大層級的遠端程式碼執行（RCE）漏洞CVE-2024-50379，事隔3日，他們再度發布資安公告指出，上述版本出現修補不完整的現象，呼籲IT人員要儘速採取行動。根據統計全球網路技術使用數據的組織W3C觀察，12月採用Tomcat的網站比例低於0.04％，但它也是少數高流量網站最常採用的平臺。

CVE-2024-50379是涉及檢查時間及使用時間（TOCTOU）的弱點，發生在Tomcat編譯JSP的過程，並在預設的servlet啟用寫入功能（非預設組態）的情況下，攻擊者有機會藉由對相同檔案同時上傳及下載的情況下，繞過Tomcat的檢查，此時上傳的檔案會被視為JSP程式，從而導致遠端任意執行程式碼的資安風險，CVSS風險評為9.8（滿分10分）。

12月20日Apache基金會再度發布公告，他們發現上述新版程式修補並不完整，並將這項弱點登記為CVE-2024-56337。特別的是，該基金會並非再度發布新版軟體予以修補，而是要求用戶必須調整Java元件的部分組態來因應。

資料來源:https://www.ithome.com.tw/news/166667