Apache Tomcat 高危漏洞 GHSA-27hp-xhwr-wr2m：TOCTOU 竞争条件影响多个版本

Apache Tomcat 核心组件中一个被标记为“高危”的安全漏洞（GHSA-27hp-xhwr-wr2m / CVE-2024-56337）已被披露。该漏洞源于一个时间检查与时间使用（TOCTOU）竞争条件问题，其根源在于对先前漏洞 CVE-2024-50379 的缓解措施不完整。这意味着，尽管已发布过补丁，但防御机制存在缺口，攻击者仍可能利用此缺陷。

该漏洞影响范围广泛，波及 Tomcat 的多个主要版本：从 11.0.0-M1 到 11.0.1，从 10.1.0-M1 到 10.1.33，以及从 9.0.0.M1 到 9.0.97。具体而言，在运行于不区分大小写的文件系统上，且默认 Servlet 的写入功能被启用（即 `readonly` 初始化参数被设置为非默认值 `false`）的 Tomcat 实例中，此漏洞的风险最高。攻击者可能利用此竞争条件，绕过预期的安全检查，从而进行未授权的文件访问或写入操作。

此漏洞的披露对依赖 Tomcat 作为 Web 应用服务器的众多企业和开发者构成了直接的安全压力。由于该漏洞是先前修复的延续性问题，它凸显了复杂软件中补丁管理的挑战和“补丁之上再打补丁”的现实风险。受影响用户需要立即审查其 Tomcat 配置，特别是文件系统类型和 Servlet 设置，并密切关注 Apache 官方发布的最新安全更新或配置指南，以实施完整的缓解措施，防止潜在的攻击链形成。