Apache Tomcat安全更新：修复拒绝服务与重写规则绕过漏洞

2025年5月26日14:09:51评论42 views字数 1025阅读3分25秒阅读模式

Apache 软件基金会发布了重要安全更新，修复了广泛使用的开源 Java Servlet 容器 Apache Tomcat 多个版本中存在的两个漏洞。这两个漏洞编号为 CVE-2025-31650 和 CVE-2025-31651，若不及时修补，可能导致拒绝服务状态和安全规则绕过。

CVE-2025-31650

被评定为高危级别的 CVE-2025-31650 涉及处理无效 HTTP 优先级标头时的错误处理不当问题。根据安全公告，"某些无效 HTTP 优先级标头的错误处理导致失败请求的清理不完整，从而造成内存泄漏"。随着时间的推移，大量此类畸形请求可能触发OutOfMemoryException，最终导致拒绝服务(DoS)。

受影响版本包括：

Apache Tomcat 11.0.0-M2 至 11.0.5
Apache Tomcat 10.1.10 至 10.1.39
Apache Tomcat 9.0.76 至 9.0.102

建议用户升级至以下版本以降低风险：

Apache Tomcat 11.0.6 或更高版本
Apache Tomcat 10.1.40 或更高版本
Apache Tomcat 9.0.104 或更高版本

值得注意的是，修复最初包含在 Apache Tomcat 9.0.103 中，但公告指出"9.0.103 候选版本的发布投票未通过"。因此，用户必须直接升级到 9.0.104 或更高版本才能获得官方修复。

CVE-2025-31651

第二个漏洞 CVE-2025-31651 被评定为低危级别，但在特定配置下仍存在安全风险。该漏洞影响部分不太可能的重写规则设置，其中"精心构造的请求可能绕过某些重写规则"。如果这些重写规则对强制执行安全约束至关重要，此漏洞可能允许攻击者绕过这些保护措施。

受影响版本包括：

Apache Tomcat 11.0.0-M1 至 11.0.5
Apache Tomcat 10.1.0-M1 至 10.1.39
Apache Tomcat 9.0.0.M1 至 9.0.102

与 CVE-2025-31650 类似，用户应升级至：

Apache Tomcat 11.0.6 或更高版本
Apache Tomcat 10.1.40 或更高版本
Apache Tomcat 9.0.104 或更高版本

公告同样指出，虽然 9.0.103 版本中实现了修复，但"9.0.103 候选版本的发布投票未通过"。用户必须直接升级到 9.0.104 或更高版本。

Apache Tomcat安全更新：修复拒绝服务与重写规则绕过漏洞

原文始发于微信公众号（FreeBuf）：Apache Tomcat安全更新：修复拒绝服务与重写规则绕过漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Apache Tomcat安全更新：修复拒绝服务与重写规则绕过漏洞

理想汽车遭遇黑客远程控制？

【微软云】身份曝【严重漏洞】：对低级别用户过度授权，导致客户VPN密钥泄露

你每天用的AI，可能被投毒了！

Google紧急修复Chrome零日漏洞（CVE-2025-6554）

BlockSec | Resupply 协议攻击事件的深度分析和思考

漏洞预警|多家主流蓝牙耳机曝出可被监视漏洞

印度 Max 金融公司数据泄露

韩国重拳出击！Kimsuky APT黑客团伙遭制裁，加密地址首度曝光，美日火速跟进！

澳航遭遇重大网络攻击数百万客户信息恐遭泄露

新的 FileFix 攻击可运行 JScript 并绕过 Windows MoTW 警报

发表评论

在线咨询

微信