【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

admin

101400
文章

87
评论

2022年7月5日22:10:33评论470 views字数 964阅读3分12秒阅读模式

漏洞概述

美创安全实验室监测到Apache Tomcat 拒绝服务漏洞，漏洞编号：CVE-2022-29885，漏洞等级：中危。

该漏洞是由于 Tomcat 开启集群配置中存在缺陷，攻击者可利用该漏洞在未授权的情况下，构造恶意数据造成拒绝服务，最终导致目标服务器拒绝服务。

影响版本

1. 在服务端Tomcat集群配置中若没有配置EncryptInterceptor，Apache Tomcat全版本均受影响；

2. 在服务端Tomcat集群配置中若配置EncryptInterceptor，Apache Tomcat受影响版本如下：

10.1.0-M1 <= Apache Tomcat <= 10.1.0-M14

10.0.0-M1 <= Apache Tomcat <= 10.0.20

9.0.13 <= Apache Tomcat <= 9.0.62

8.5.38 <= Apache Tomcat <= 8.5.78

安全版本

在服务端中配置EncryptInterceptor时:

Apache Tomcat 10.x >= 10.1.0-M15

Apache Tomcat 10.x >= 10.0.21

Apache Tomcat 9.x >= 9.0.63

Apache Tomcat 8.x >= 8.5.79

Apache Tomcat 10.x < 10.1.0-M1

Apache Tomcat 10.x < 10.0.0-M1

Apache Tomcat 9.x < 9.0.13

Apache Tomcat 8.x < 8.5.38

注：更低版本在此场景下同样不受影响

处置建议

1.如何检测组件系统版本

Windows 系统：

在 Tomcat 的 bin 目录下，输入 catalina version 命令即可显示版本信息。

Linux 系统：

在 bin 目录下执行如下命令：sh version.sh 可显示版本信息。

2.目前，Apache官方已发布版本更新对此漏洞进行修复，建议用户尽快升级到以下安全版本。官方下载链接：

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

原文始发于微信公众号（第59号）：【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

DataCube3 getting_index_data.php SQL注入漏洞

用友NC Cloud importhttpscer接口存在任意文件上传漏洞

GL.iNet 路由器身份验证绕过漏洞 (CVE-2023-46453)

【漏洞预警】SEMCMS安全漏洞(CVE-2024-30938)

1day分享｜ Geoserver命令执行漏洞

漏洞预警 JEECMS o_upload 文件上传漏洞

用友U9 PatchFile.asmx接口存在任意文件上传漏洞

万户ezOFFICE-wf_printnum.jspSQL注入漏洞-附py

【漏洞预警】Progress Flowmon命令注入漏洞（CVE-2024-2389）

某捷通T KeyInfoList.aspx sql注入-附py

发表评论

在线咨询

微信