Apache Tomcat 漏洞可导致攻击者绕过规则并触发 DoS 条件

Apache 软件基金会披露了 Apache Tomcat 中的一个重大安全漏洞，该漏洞可能允许攻击者绕过安全规则并通过操纵 HTTP 优先级标头 触发拒绝服务条件。

该高危漏洞编号为 CVE-2025-31650，影响多个 Tomcat 版本，对依赖此流行 Java 应用服务器的组织构成重大安全风险。

Apache Tomcat 拒绝服务漏洞

该漏洞源于 Apache Tomcat 在处理 HTTP 优先级标头时输入验证不当。 

根据安全公告，“对某些无效 HTTP 优先级标头的错误处理不正确，导致失败的请求清理不完整，从而造成内存泄漏”。 

当攻击者发送大量包含无效 HTTP 优先级标头的格式错误的请求时，他们可能会触发 OutOfMemoryException，从而导致拒绝服务，使应用程序不可用。

HTTP 优先级标头是 Web 通信的合法组件，它指示客户端对响应传递优先级顺序的偏好。 

然而，这个新的漏洞表明 Tomcat 对这些标头的处理存在一个缺陷，无法正确验证和清理输入。

受影响的版本

该漏洞影响以下 Apache Tomcat 版本：

• Apache Tomcat 11.0.0-M2 至 11.0.5
• Apache Tomcat 10.1.10 至 10.1.39
• Apache Tomcat 9.0.76 至 9.0.102

这些版本的用户应立即考虑升级到修补版本。

该漏洞利用了 Tomcat 处理内存资源的方式。当服务器收到无效的 HTTP Priority 标头时，它无法正确清理资源，从而造成内存泄漏。 

正如报告中所指出的，“大量此类请求可能会触发 OutOfMemoryException，从而导致拒绝服务”。

这让人想起了之前的 Java 应用程序内存问题。正如一位系统管理员在之前的事件中指出的那样，“Tomcat 无法释放未使用的内存。它只会不断添加内存，最终达到其最大分配内存量”。

减轻 

Apache 软件基金会建议采取以下缓解措施：

• 升级到 Apache Tomcat 11.0.6 或更高版本
• 升级到 Apache Tomcat 10.1.40 或更高版本
• 升级到 Apache Tomcat 9.0.104 或更高版本

尽管 9.0.103 版本已修复此问题，但“9.0.103 候选版本的发布投票未通过”，因此尽管包含修复程序，但此版本并不包含在受影响的版本中。

这是近几个月来第二个重大Apache Tomcat 漏洞。2025 年 3 月，CVE-2025-24813 被披露，这是一个 CVSS 评分为 9.8 的严重远程代码执行漏洞，攻击者可以利用该漏洞控制易受攻击的服务器。

鉴于此漏洞的严重性及其完全禁用 Web 应用程序的可能性，强烈建议立即采取行动。