如安全公告 AL01/240705/CSIRT-ITA 中所述,Apache Tomcat 中的CVE -2024-34750 漏洞涉及一个可被利用以使服务器计算资源过载的问题,从而导致拒绝服务 (DoS)。
Apache Tomcat 是一个开源服务器,它实现了 Java Servlet 规范、JavaServer Pages (JSP) 和其他 Java 技术。
该漏洞是由 Tomcat 安全团队直接发现的。
漏洞详情
该漏洞是在Apache 软件基金会开发的开源Web 服务器 Apache Tomcat 中发现的。
远程攻击者可以利用此安全缺陷使易受攻击的系统的计算资源超载,从而损害服务的可用性。
实际上,攻击者可能会发送一系列旨在过度消耗 CPU、内存或其他关键服务器资源的请求,从而导致服务显着变慢甚至完全阻塞。
这是由于 HTTP/2 流的处理方式造成的,当使用大量这些流时,Tomcat 会不正确地使用无限倒计时。
从而允许已结束的连接保持打开状态,从而过度使用资源。
为了欺骗 Tomcat 服务,需要过度使用 headers,这与大量流相结合,会触发无限倒计时。
可能的影响:攻击者可能利用此漏洞导致 Tomcat 服务器不可用,从而中断对合法用户的服务。
这可能会产生严重的后果,特别是对于需要高可用性和快速响应时间的 Web 服务。
此漏洞影响 Apache Tomcat 的各个版本:11.0.0-M1 至 11.0.0-M20、10.1.0-M1 至 10.1.24、9.0.0-M1 至 9.0.89。
CVE-2024-34750仍在等待NIST分析,因此其风险价值无法量化。
Apache Tomcat 中的 CVE-2024-34750 漏洞对服务可用性构成重大威胁。
保持软件更新、正确配置资源限制以及实施监控和安全措施以保护您的系统免受可能的 DoS 攻击至关重要。
采取主动的安全方法可以帮助减轻与此漏洞和类似漏洞相关的风险。
建议将 Tomcat 版本更新至已打补丁的版本:
11.0.0-M21 10.1.25 或 9.0.90。
原文始发于微信公众号(网络研究观):Apache Tomcat 数千台服务器面临拒绝服务风险威胁
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论