阅读量:2
CVE-2024-34750 Apache Tomcat - 拒绝服务
严重程度:重要
供应商:Apache 软件基金会
受影响的版本:
Apache Tomcat 11.0.0-M1 至 11.0.0-M20
Apache Tomcat 10.1.0-M1 至 10.1.24
Apache Tomcat 9.0.0-M1 至 9.0.89
描述:
在处理 HTTP/2 流时,Tomcat 没有处理以下情况
正确计算过多的 HTTP 标头。这导致错误计算活跃
HTTP/2 流,这又导致使用了不正确的无限
超时导致连接保持打开状态,这本应
关闭。
减轻:
受影响版本的用户应采取以下措施之一
缓解措施:
- 升级到 Apache Tomcat 11.0.0-M21 或更高版本
- 升级到 Apache Tomcat 10.1.25 或更高版本
- 升级到 Apache Tomcat 9.0.90 或更高版本
信用:
此漏洞已负责任地报告给 Tomcat 安全团队
由 VNPT-VCI 的 devme4f 提供。
历史:
2024-07-03 原始通报
参考:
[1] https://tomcat.apache.org/security-11.html
[2] https://tomcat.apache.org/security-10.html
[3] https://tomcat.apache.org/security-9.html
如安全公告 AL01/240705/CSIRT-ITA 中所述,Apache Tomcat 中的CVE -2024-34750 漏洞涉及一个可被利用以使服务器计算资源过载的问题,从而导致拒绝服务 (DoS)。
Apache Tomcat 是一个开源服务器,它实现了 Java Servlet 规范、JavaServer Pages (JSP) 和其他 Java 技术。
该漏洞是由 Tomcat 安全团队直接发现的。
漏洞详情
该漏洞是在Apache 软件基金会开发的开源Web 服务器 Apache Tomcat 中发现的。
远程攻击者可以利用此安全缺陷使易受攻击的系统的计算资源超载,从而损害服务的可用性。
实际上,攻击者可能会发送一系列旨在过度消耗 CPU、内存或其他关键服务器资源的请求,从而导致服务显着变慢甚至完全阻塞。
这是由于 HTTP/2 流的处理方式造成的,当使用大量这些流时,Tomcat 会不正确地使用无限倒计时。
从而允许已结束的连接保持打开状态,从而过度使用资源。
为了欺骗 Tomcat 服务,需要过度使用 headers,这与大量流相结合,会触发无限倒计时。
可能的影响:攻击者可能利用此漏洞导致 Tomcat 服务器不可用,从而中断对合法用户的服务。
这可能会产生严重的后果,特别是对于需要高可用性和快速响应时间的 Web 服务。
此漏洞影响 Apache Tomcat 的各个版本:11.0.0-M1 至 11.0.0-M20、10.1.0-M1 至 10.1.24、9.0.0-M1 至 9.0.89。
CVE-2024-34750仍在等待NIST分析,因此其风险价值无法量化。
Apache Tomcat 中的 CVE-2024-34750 漏洞对服务可用性构成重大威胁。
保持软件更新、正确配置资源限制以及实施监控和安全措施以保护您的系统免受可能的 DoS 攻击至关重要。
采取主动的安全方法可以帮助减轻与此漏洞和类似漏洞相关的风险。
建议将 Tomcat 版本更新至已打补丁的版本:
11.0.0-M21 10.1.25 或 9.0.90。
