【已复现】Apache Tomcat 拒绝服务漏洞(CVE-2022-29885)安全风险通告

admin
admin
admin
140350
文章
117
评论
2022年7月3日02:10:15【已复现】Apache Tomcat 拒绝服务漏洞(CVE-2022-29885)安全风险通告已关闭评论1,889 views1字数 2274阅读7分34秒阅读模式
图片

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



近日,奇安信CERT监测到Apache Tomcat拒绝服务漏洞(CVE-2022-29885)的PoC在互联网上公开,当Apache Tomcat开启集群配置,且通过NioReceiver通信时,无论服务端是否配置EncryptInterceptor,攻击者均可构造特制请求导致目标服务器拒绝服务。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

Apache Tomcat拒绝服务漏洞(CVE-2022-29885)

公开时间

2022-05-12

更新时间

2022-07-01

CVE编号

CVE-2022-29885

其他编号

QVD-2022-6987

威胁类型

拒绝服务

技术类型

不受控的资源消耗

厂商

Apache

产品

Tomcat

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

未发现

未发现

已公开

漏洞描述

Apache Tomcat 存在拒绝服务漏洞,当Tomcat开启集群配置,且通过NioReceiver通信时,无论服务端是否配置EncryptInterceptor,攻击者均可构造特制请求导致目标服务器拒绝服务。

影响版本

1. 在服务端Tomcat集群配置中若没有配置EncryptInterceptor,Apache Tomcat全版本均受影响;

2. 在服务端Tomcat集群配置中若配置EncryptInterceptor,Apache Tomcat受影响版本如下:

10.1.0-M1 <= Apache Tomcat <= 10.1.0-M14

10.0.0-M1 <= Apache Tomcat <= 10.0.20

9.0.13 <= Apache Tomcat <= 9.0.62

8.5.38 <= Apache Tomcat <= 8.5.78

不受影响版本

在服务端中配置EncryptInterceptor时: 

Apache Tomcat 10.x >= 10.1.0-M15

Apache Tomcat 10.x >= 10.0.21

Apache Tomcat 9.x >= 9.0.63 

Apache Tomcat 8.x >= 8.5.79

Apache Tomcat 10.x < 10.1.0-M1

Apache Tomcat 10.x < 10.0.0-M1

Apache Tomcat 9.x < 9.0.13

Apache Tomcat 8.x < 8.5.38 

(更低版本在此场景下同样不受影响)

目前,奇安信CERT已成功复现Apache Tomcat拒绝服务漏洞(CVE-2022-29885),截图如下:

图片

威胁评估

漏洞名称

Apache Tomcat拒绝服务漏洞(CVE-2022-29885)

CVE编号

CVE-2022-29885

其他编号

QVD-2022-6987

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径(AV)

攻击复杂度(AC)

网络

所需权限(PR)

用户交互(UI)

不需要

不需要

影响范围(S)

机密性影响(C)

不变

完整性影响(I)

可用性影响(A)

危害描述

当Tomcat开启集群配置,且通过NioReceiver通信时,无论服务端是否配置EncryptInterceptor,攻击者均可构造特制请求导致目标服务器拒绝服务。

处置建议

1、安全升级

   当Tomcat开启集群配置时:

  • 服务端若没有配置EncryptInterceptor,Apache Tomcat全版本均受影响,建议用户尽快采取缓解措施;

  • 服务端若配置EncryptInterceptor,Apache Tomcat官方已发布可更新版本,建议用户升级至:

Apache Tomcat 10.1.0-M15;
Apache Tomcat 10.0.21;
Apache Tomcat 9.0.63;
Apache Tomcat 8.5.79 

2、缓解措施

针对目标集群服务的通信配置EncryptInterceptor并进行安全访问控制。

更多详情请参见:

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

产品解决方案

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache Tomcat 拒绝服务漏洞(CVE-2022-29885)漏洞的防护。


奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0701.13419或以上版本。规则ID及规则名称:0x5e7a,Apache Tomcat 拒绝服务漏洞(CVE-2022-29885)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:52493,建议用户尽快升级检测规则库至2207011700以后版本并启用该检测规则

参考资料

[1]https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv

时间线

2022年7月1日,奇安信 CERT发布安全风险通告


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月3日02:10:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【已复现】Apache Tomcat 拒绝服务漏洞(CVE-2022-29885)安全风险通告https://cn-sec.com/archives/1150702.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.