Apache Tomcat是美國阿帕奇(Apache)基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在輸入驗證錯誤漏洞,該漏洞源于HTTP/2請求的輸入驗證不正確,會導致拒絕服務。
修復方案
目前,官方漏洞修復版本已經發布。建議用戶升級到安全修復版本: 8.0.x 用戶升級組件到 8.5.99 版; 9.0.x 用戶升級組件到 9.0.86 版; 10.0.x 用戶升級組件到 10.1.19 版; 11.0.x 用戶升級組件到 11.0.0-M17 版 。參考鏈接:https://tomcat.apache.org/
掃描到服務器存在漏洞風險,建議立即對相關主機進行快照備份,避免遭受損失。
參考鏈接
https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg
Apache Tomcat中存在一個輸入驗證錯誤(也稱為CVE-2022-23708)漏洞,這是因為Tomcat在處理HTTP/2請求時未能正確驗證請求頭部的大小,可能導致內存溢出漏洞。攻擊者可以構造特制的HTTP/2請求,利用此漏洞發起攻擊,如果攻擊成功,可能會導致服務器崩潰或執行任意代碼。
解決方法:
升級 org.apache.tomcat.embed 依賴版本到 9.0.86。
修改pom.xml文件:
<!-- tomcat --><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId><version>9.0.86</version></dependency><!-- Exclude conflicting dependencies --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-tomcat</artifactId><exclusions><exclusion><groupId>javax.servlet</groupId><artifactId>javax.servlet-api</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId></exclusion></exclusions></dependency>?
)
)
處理,IP解析)
方法)
