近期,Apache 软件基金会披露了 Apache Tomcat 的一项重大安全漏洞 ——CVE-2025-31650。该漏洞属于高危漏洞,其 CVSS 3.1 评分为 7.5,攻击者可利用漏洞绕过安全规则并触发拒绝服务(DoS)条件,对使用该 Java 应用服务器的组织构成严重威胁。
该漏洞源于 Apache Tomcat 对 HTTP 优先级标头的处理存在不当输入验证问题,其错误处理部分无效的 HTTP 优先级标头,致使失败请求未得到充分清理,进而产生内存泄漏。一旦攻击者大量发送包含无效 HTTP 优先级标头的恶意请求,就会触发 OutOfMemoryException,最终导致拒绝服务,使应用无法正常运行。HTTP 优先级标头在正常情况下,用于表明客户端对响应交付顺序的优先级偏好,如今却被攻击者利用来实施攻击。
此漏洞影响到 Apache Tomcat 的多个版本,具体包括 Apache Tomcat 9.0.76 至 9.0.102、10.1.10 至 10.1.39 以及 11.0.0-M2 至 11.0.5。其风险因素主要体现在,攻击者无需身份验证,只需向目标服务器发送大量带有无效 HTTP 优先级标头的 HTTP 请求,就有可能成功实施攻击,导致服务器因内存耗尽而停止服务。
Apache 软件基金会在官方安全公告中给出了以下缓解措施:
* 升级至 Apache Tomcat 11.0.6 或更高版本。
* 升级至 Apache Tomcat 10.1.40 或更高版本。
* 升级至 Apache Tomcat 9.0.104 或更高版本。
值得一提的是,Apache Tomcat 9.0.103 虽然包含修复该问题的补丁,但因该版本的发布投票未能通过,所以并不在官方建议的升级范围之内。此次漏洞曝光并非 Apache Tomcat 首次遭遇安全危机,早在 2025 年 3 月,就曾曝出过 CVE-2025-24813 远程代码执行漏洞,其 CVSS 评分为 9.8,攻击者可借此漏洞掌控易受攻击的服务器。
鉴于此漏洞的严重性以及可能对 Web 应用造成的完全瘫痪风险,建议相关用户和企业引起高度重视,尽快采取官方推荐的升级措施,以保障系统的安全性与稳定性。
原文始发于微信公众号(看雪学苑):速升级!Apache Tomcat高危漏洞可致DoS和规则绕过
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/4017477.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论