Apache Tomcat拒绝服务漏洞安全风险通告

admin 2024年7月8日11:33:01评论12 views字数 869阅读2分53秒阅读模式
漏洞背景

近日,嘉诚安全监测到Apache Tomcat中修复了一个拒绝服务漏洞,漏洞编号为:CVE-2024-34750。

Apache Tomcat是一个开源的Java Servlet容器,广泛用于运行Java Web应用程序,实现了Java Servlet和JavaServer Pages (JSP) 技术,提供了一个运行环境来处理HTTP请求、生成动态网页,并支持WebSocket通信。Tomcat以其稳定性、灵活性和易用性而受到开发者的青睐,是开发和部署Java Web应用的重要工具之一。

鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。

漏洞详情

经研判,该漏洞为高危漏洞。Tomcat在处理HTTP/2流时,没有正确处理某些HTTP标头过多的情况,导致对活跃HTTP/2流的计数错误,进而可能使用不正确的无限超时设置,使得本应关闭的连接保持打开状态,可能导致服务器资源消耗、性能下降和安全风险,从而造成拒绝服务。

危害影响

影响版本:

9.0.0-M1 <= Apache Tomcat <= 9.0.89

10.1.0-M1 <= Apache Tomcat <= 10.1.24

11.0.0-M1 <= Apache Tomcat <= 11.0.0-M20

处置建议

目前该漏洞已经修复,受影响用户可升级到以下版本:

Apache Tomcat >= 11.0.0-M21

Apache Tomcat >= 10.1.25

Apache Tomcat >= 9.0.90

下载链接:

https://tomcat.apache.org/index.html

参考链接:

https://lists.apache.org/thread/4kqf0bc9gxymjc2x7v3p7dvplnl77y8l

https://tomcat.apache.org/security-11.html

https://nvd.nist.gov/vuln/detail/CVE-2024-34750

 

原文始发于微信公众号(嘉诚安全):【漏洞通告】Apache Tomcat拒绝服务漏洞安全风险通告

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月8日11:33:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apache Tomcat拒绝服务漏洞安全风险通告http://cn-sec.com/archives/2930162.html

发表评论

匿名网友 填写信息