Apache 软件基金会发布了重要的安全更新，以解决广泛使用的开源 Web 服务器和 servlet 容器 Apache Tomcat 中的两个漏洞。其中一个漏洞可允许攻击者远程执行任意代码，从而可能危及系统和敏感数据。

另一个更严重的漏洞名为 CVE-2024-50379，其严重性等级为 “重要”。该漏洞存在于默认 servlet 中，可在特定条件下被利用，主要是当 servlet 配置为允许写入访问且底层文件系统不区分大小写时。攻击者可以通过上传伪装成合法文件的恶意文件来利用这个漏洞，最终导致远程代码执行（RCE）。

第二个漏洞被追踪为 CVE-2024-54677，它是一个拒绝服务（DoS）漏洞，影响 Apache Tomcat 附带的 “examples ”网络应用程序。攻击者可利用该漏洞通过上传过量数据触发 OutOfMemoryError，从而可能导致服务器崩溃并中断服务。虽然该漏洞的严重性评级为 “低”，但解决该漏洞以确保 Tomcat 服务器的稳定性和可用性仍然至关重要。

受影响的版本：

该漏洞影响多种 Apache Tomcat 版本，包括

• Apache Tomcat 11.0.0-M1 至 11.0.1
• Apache Tomcat 10.1.0-M1 至 10.1.33
• Apache Tomcat 9.0.0.M1 至 9.0.97

缓解措施：

Apache 软件基金会敦促所有用户立即将其 Tomcat 安装更新至最新版本。以下版本包含对这两个漏洞的修复：

• Apache Tomcat 11.0.2 或更高版本
• Apache Tomcat 10.1.34 或更高版本
• Apache Tomcat 9.0.98 或更高版本

建议管理员查看 Apache 的官方安全公告，并尽快应用必要的更新，以降低被利用的风险。这对于暴露于互联网或处理敏感信息的系统尤为重要。