Apache Tomcat 条件竞争文件上传漏洞

Apache Tomcat 在 JSP 编译期间存在 Time-of-check Time-of-use (TOCTOU) Race Condition 漏洞，当默认 Servlet 被启用以进行写操作时（非默认配置），在不区分大小写的文件系统上可能导致远程代码执行（RCE）。该问题影响的 Apache Tomcat 版本为：11.0.0-M1 到 11.0.1、10.1.0-M1 到 10.1.33、9.0.0.M1 到 9.0.97。

攻击者成功利用该漏洞将会导致严重的安全后果。未经授权的攻击者可以在服务器上传木马文件从而执行任意代码，获得服务器的进一步控制权。最严重的情况下，这可能导致服务器的完全接管，敏感数据泄露，甚至将服务器转化为发起其他攻击的跳板。

一、临时缓解方案

1. 根据业务需求评估，将 conf/web.xml文件中的 readOnly 参数设置为 true 或注释该参数，禁用 PUT 方法并重启 Tomcat 服务以使配置生效，从而临时规避该安全风险。
2. 使用WAF等防护设备对目标系统进行防护，拦截包含恶意代码的文件上传请求。
3. 如非必要，避免将资产暴露在互联网。
   二、升级修复方案
   Apache 官方已发布安全通告并发布了修复版本11.0.2、10.1.34、9.0.98，请尽快下载安全版本修复漏洞。