Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式
1,关于漏洞
Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。
二、 漏洞描述
Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时间 (TOCTOU) 竞争条件漏洞,当Apache Tomcat 的默认 servlet 被配置为允许写入 (即readonly 初始化参数被设置为非默认值false),在不区分大小写的文件系统上,当对同一文件进行并发读取和上传时,可能绕过 Tomcat的大小写敏感性检查,导致上传的文件被错误地当作JSP 文件处理,从而导致远程代码执行。
修复方式 :
Properties:
server.tomcat.default-servlet-config.readonly=trueyml :
server:
tomeat:
default-servlet-config:
readonly: true
相关文章:
Apache Tomcat 漏洞CVE-2024-50379条件竞争文件上传漏洞 servlet readonly spring boot 修复方式
1,关于漏洞 Apache Tomcat是一个流行的开源 Web 服务器和 Java Servlet 容器。 二、 漏洞描述 Apache Tomcat中修复了个 TOCTOU 竞争条件远程代码执行漏洞 (CVE-2024-50379),该漏洞的 CVSS 评分为 9.8。Apache Tomcat 中 JSP 编译期间存在检查时间使用时…...
中国信通院致信感谢易保全:肯定贡献能力,期许未来合作
近日,中国信息通信研究院(以下简称“中国信通院”)向易保全发感谢信表达谢意,对其在中国信通院牵头的“铸基计划”——企业数字化转型高质量发展推进行动实施中展现出的重要贡献给予了高度评价和肯定,并展望了双方至20…...
20241220流水的日报 mysql的between可以用于字符串 sql 所有老日期的,保留最新日期
1.F310A RKP有效性验证讨论:需连外网,需先用app生成标志,工具读标志。 2.M200 适配一个 给客户写配置的工具 mysql的between可以用于字符串 批量打印包装箱时,提示有重复N条的处理方法: --先备份数据库,删…...
低代码开源项目Joget的研究——安装部署
大纲 环境准备安装必要软件配置Java配置JAVA_HOME配置Java软链安装三方库 获取源码配置MySql数据库创建用户创建数据库导入初始数据 配置数据库连接配置sessionFactory编译下载tomcat启动下载aspectjweaver移动jw.war文件编写脚本运行 测试参考资料 Joget,作为一款开…...
《鸿蒙开发-答案之书》字符串占位符格式化
《鸿蒙开发-答案之书》字符串占位符格式化 先在string.json定义: {"name":"message_arrive","value":"We will arrive at %s."}使用,它有两种使用方式: 方式一: Text($r(app.string.…...
workman服务端开发模式-应用开发-gateway长链接端工作原理
一、长链接的工作原理 Register类其实也是基于基础的Worker开发的。Gateway进程和BusinessWorker进程启动后分别向Register进程注册自己的通讯地址,Gateway进程和BusinessWorker通过Register进程得到通讯地址后,就可以建立起连接并通讯了。而Gateway进程…...
Android 关于Tencent vConsole 添加入webView 总结
官方地址: https://github.com/Tencent/vConsole/blob/dev/doc/tutorial_CN.md 上面文档中提供了两种常见的引入H5工程思路,简单易懂! 今天这篇文章要说明的是,不同于官方文档的接入方式。 先说背景:H5工程方&…...
【路径规划】原理及实现
路径规划(Path Planning)是指在给定地图、起始点和目标点的情况下,确定应该采取的最佳路径。常见的路径规划算法包括A* 算法、Dijkstra 算法、RRT(Rapidly-exploring Random Tree)等。 目录 一.A* 1.算法原理 2.实…...
【AIGC】ChatGPT 结构化 Prompt 的高级应用
博客主页: [小ᶻ☡꙳ᵃⁱᵍᶜ꙳] 本文专栏: AIGC | ChatGPT 文章目录 💯前言💯标识符的使用(Use of Identifiers)1. #2. <>3. - 或 4. [] 💯属性词的重要性和应用应用场景 💯具体模块…...
Go web 开发框架 Iris
背景 掌握了 Go 语言的基础后就该开始实践了,编写Web应用首先需要一个 web 开发框架。做框架选型时,处理web请求是基本功能,至于MVC是更进一步需要。现在比较流行的web架构是前后端分离,后端响应RESTful的请求,Iris 能…...
uniapp Native.js 调用安卓arr原生service
最近搞了个uni小项目,一个定制的小平板,带一个nfc设备,厂家只给了一套安卓原生demo,头一次玩原生安卓,废了好半天劲打出来arr包,想镶进uniapp里,网上查了好久,都是错的,要…...
C#代码实现把中文录音文件(.mp3 .wav)转为文本文字内容
我们有一个中文录音文件.mp3格式或者是.wav格式,如果我们想要提取录音文件中的文字内容,我们可以采用以下方法,不需要使用Azure Speech API 密钥注册通过离线的方式实现。 1.首先我们先在NuGet中下载两个包 NAudio 2.2.1、Whisper.net 1.7.3…...
【一文了解】C#重点-委托1
本篇文章来学习一下C#的委托,委托是C#中的一个重要概念,它允许将方法作为参数传递给其他方法。C#中的委托类似于C或C中的函数指针,并且类型安全。 委托 1.委托的定义 委托(delegate)是方法的代理/代表,委托…...
WPF+MVVM案例实战与特效(四十五)- 打造优雅交互:ListBox 的高级定制与行为触发(侧边菜单交互面板)
文章目录 1、引言2、案例效果3、案例实现1、依赖安装2、文件创建3、代码实现1、依赖引用与上下文2、个性化视觉效果:自定义 ItemContainerStyle3、页面样式与布局完整代码4、ViewModel 逻辑实现5、子界面代码:3、实现效果4、源代码获取5、总结1、引言 在WPF应用程序开发中,…...
新版Android Studio 2024.1.2版本,如何通过无线wifi连接手机实现交互
1、首先,先确定手机是否启动了开发者选项 在我的设备 -> 全部参数 -> MIUI版本点击6下 (有的手机是 关于手机 -> 查看手机版本 ) 2、在设置中搜索 开启开发者选项 3、进入开发者选项后,在 调试 中选择 无线调试并选择…...
VTK知识学习(26)- 图像基本操作(一)
1、前言 图像处理离不开一些基本的图像数据操作,例如获取和修改图像的基本信息、访问和修改图像像素值、图像显示、图像类型转换等。熟练掌握这些基本操作有助于使用 VTK进行图像处理应用程序的快速开发。 2、图像信息的访问与修改 1)利用vtkIamgeData…...
2024年9月AI头条新闻:创新与挑战并存
2024年9月AI头条新闻:创新与挑战并存 9月,人工智能领域继续高速发展,重大产品发布、伦理争议和技术突破交织在一起。让我们回顾一下本月最重要的AI新闻: OpenAI的o1:更强大的语言模型 OpenAI推出了o1,一个…...
[Xshell] Xshell的下载安装使用、连接linux、 上传文件到linux系统-详解(附下载链接)
前言 xshell 链接:https://pan.quark.cn/s/57062561e81a 提取码:TK4K 链接失效(可能被官方和谐)可评论或私信我重发 安装 下载后解压得到文件 安装路径不要有中文 打开文件 注意!360等软件会拦截创建注册表的行为&a…...
count(1)、count(_)与count(列名)的区别?
大家好,我是锋哥。今天分享关于【count(1)、count(_)与count(列名)的区别?】面试题。希望对大家有帮助; count(1)、count(_)与count(列名)的区别? 1000道 互联网大厂Java工程师 精选面试题-Java资源分享网 在 SQL 中,…...
代码随想录训练营第二十七天| 贪心理论基础 455.分发饼干 376. 摆动序列 53. 最大子序和
贪心没有套路,说白了就是常识性推导加上举反例 今天的内容比较简单 简单了解贪心是通过局部最优解反推全局最优解(有经验成分) 455.分发饼干 题目链接:455. 分发饼干 - 力扣(LeetCode) 讲解链接ÿ…...
)
LeetCode 693. 交替位二进制数(详细解析 + 多解法实现)
LeetCode 693. 交替位二进制数(详细解析 多解法实现) 前言:LeetCode 693. 交替位二进制数是一道简单难度的位运算题目,核心考察对二进制表示、位运算操作的理解与运用。本题看似简单,但存在多种解题思路,从…...
SetDPI完全指南:掌握Windows多显示器DPI缩放控制的高效方案
SetDPI完全指南:掌握Windows多显示器DPI缩放控制的高效方案 【免费下载链接】SetDPI 项目地址: https://gitcode.com/gh_mirrors/se/SetDPI Windows多显示器DPI缩放控制一直是专业用户面临的痛点,SetDPI作为一款开源命令行工具,提供了…...
)
Jira敏捷开发实战:从零搭建Scrum团队的全流程指南(含KANBAN配置)
Jira敏捷开发实战:从零搭建Scrum团队的全流程指南(含KANBAN配置) 在数字化转型浪潮中,敏捷开发已成为提升团队效能的利器。作为全球领先的项目管理工具,Jira以其灵活的配置和强大的可视化功能,成为Scrum团队…...
)
单片机课设避坑指南:用Proteus 8.0+AT89C51搞定超声波测距仿真(附完整源码)
单片机课设避坑指南:Proteus 8.0AT89C51超声波测距仿真实战 第一次用Proteus做超声波测距仿真时,我在实验室熬了三个通宵——SRF04模块死活测不出距离,LCD1602显示乱码,报警阈值设置总出错。如果你正在为课设发愁,这份…...
粒子群算法PID参数的半主动悬架控制软件版本:matlab 粒子群算法PID参数的半主动悬架控制 软件版本:matlab2018a
粒子群算法PID参数的半主动悬架控制软件版本:matlab 粒子群算法PID参数的半主动悬架控制 软件版本:matlab2018a 资料包括: 1/4半主动悬架Simulink模型(状态空间方程表示) 作为对比的被动悬架Simulin模型 粒子群算法主程…...
Untitled
import pandas as pddf pd.read_excel("./车辆行驶里程表-2.xlsx")df车辆ID启动时间停止时间启动时剩余电量停止时剩余电量启动时电池温度峰值速度平均速度01.02020-02-20 11:31:272020-02-20 11:59:4553451185.21931.8011.02020-02-20 07:52:512020-02-20 08:19:25…...
SEAL: Enhancing Multimodal LLMs with Dynamic Visual Search for High-Resolution Image Understanding
1. 为什么高分辨率图像理解对多模态大模型如此重要? 想象一下你正在用手机查看一张4000万像素的旅游照片,试图找出远处山脚下的小木屋。人类可以自然地通过视觉搜索机制——先扫描整体景观,再逐步聚焦到特定区域——快速定位目标。但现有的多…...
多线程--第一次小结
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录一、线程和进程的区别和共同点二、创建线程1.继承Thread,重写run方法2.实现Runnable接口,重写run3.继承Thread,重写run,使用匿名内部类4.使用匿名内部类,基于Runnabl…...
2026年,这家大型快拼箱源头工厂直销厂家,究竟有何独特之处?
在快拼箱行业蓬勃发展的2026年,众多厂家如雨后春笋般涌现,但衡水贝客科技有限公司(简称贝客房屋)却凭借其独特的优势脱颖而出,成为行业内备受瞩目的大型快拼箱源头工厂直销厂家。接下来,让我们深入探究贝客…...
哔哩下载姬:为什么这个开源工具能彻底改变您的B站视频下载体验?
哔哩下载姬:为什么这个开源工具能彻底改变您的B站视频下载体验? 【免费下载链接】downkyi 哔哩下载姬downkyi,哔哩哔哩网站视频下载工具,支持批量下载,支持8K、HDR、杜比视界,提供工具箱(音视频…...