【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

admin

138858
文章

114
评论

2022年7月5日22:10:33评论540 views字数 964阅读3分12秒阅读模式

漏洞概述

美创安全实验室监测到Apache Tomcat 拒绝服务漏洞，漏洞编号：CVE-2022-29885，漏洞等级：中危。

该漏洞是由于 Tomcat 开启集群配置中存在缺陷，攻击者可利用该漏洞在未授权的情况下，构造恶意数据造成拒绝服务，最终导致目标服务器拒绝服务。

影响版本

1. 在服务端Tomcat集群配置中若没有配置EncryptInterceptor，Apache Tomcat全版本均受影响；

2. 在服务端Tomcat集群配置中若配置EncryptInterceptor，Apache Tomcat受影响版本如下：

10.1.0-M1 <= Apache Tomcat <= 10.1.0-M14

10.0.0-M1 <= Apache Tomcat <= 10.0.20

9.0.13 <= Apache Tomcat <= 9.0.62

8.5.38 <= Apache Tomcat <= 8.5.78

安全版本

在服务端中配置EncryptInterceptor时:

Apache Tomcat 10.x >= 10.1.0-M15

Apache Tomcat 10.x >= 10.0.21

Apache Tomcat 9.x >= 9.0.63

Apache Tomcat 8.x >= 8.5.79

Apache Tomcat 10.x < 10.1.0-M1

Apache Tomcat 10.x < 10.0.0-M1

Apache Tomcat 9.x < 9.0.13

Apache Tomcat 8.x < 8.5.38

注：更低版本在此场景下同样不受影响

处置建议

1.如何检测组件系统版本

Windows 系统：

在 Tomcat 的 bin 目录下，输入 catalina version 命令即可显示版本信息。

Linux 系统：

在 bin 目录下执行如下命令：sh version.sh 可显示版本信息。

2.目前，Apache官方已发布版本更新对此漏洞进行修复，建议用户尽快升级到以下安全版本。官方下载链接：

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

原文始发于微信公众号（第59号）：【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞通告】Apache Tomcat拒绝服务漏洞（CVE-2022-29885）

Windows提权漏洞CVE-2025-21204

漏洞预警博华X龙防火墙系统 arp_scan文件读取漏洞

网安人的咯噔文学|CVE-2025-404NotFound？

CVE-2025-21204: Windows Update Stack 中的不当链接跟随导致的权限提升

Windows 提权漏洞速报：CVE-2025-21204

Jupyter Remote Desktop未授权访问漏洞CVE-2025-32428

F5 BIG-IP命令注入漏洞CVE-2025-23239

三星路由器WLAN-AP-WEA453e-未授权RCE等多个漏洞 POC

CVE-2025-24071｜Windows 文件资源管理器欺骗漏洞

CVE-2024-22243 Spring Web UriComponentsBuilder URL 解析不当漏洞分析

发表评论

在线咨询

微信