SpringBoot解决Apache Tomcat输入验证错误漏洞

作者

首页»
业界新闻»
新闻资讯»
SpringBoot解决Apache Tomcat输入验证错误漏洞

发布时间:2024-07-17 19:48

阅读量:2

ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)
CVE编号
CVE-2024-24549
漏洞描述
Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。 Apache Tomcat存在输入验证错误漏洞，该漏洞源于HTTP/2请求的输入验证不正确，会导致拒绝服务。
修复方案
目前，官方漏洞修复版本已经发布。建议用户升级到安全修复版本： 8.0.x 用户升级组件到 8.5.99 版； 9.0.x 用户升级组件到 9.0.86 版； 10.0.x 用户升级组件到 10.1.19 版； 11.0.x 用户升级组件到 11.0.0-M17 版。参考链接：https://tomcat.apache.org/
扫描到服务器存在漏洞风险，建议立即对相关主机进行快照备份，避免遭受损失。
参考链接
https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg

Apache Tomcat中存在一个输入验证错误（也称为CVE-2024-24549）漏洞，在处理HTTP/2请求时，如果请求超过任何标头的配置限制，则在处理完所有标头之前，关联的HTTP/2流不会重置。该漏洞可能导致拒绝服务攻击，使得合法用户无法正常使用服务。攻击者可以通过构造特制的HTTP请求来触发该漏洞，从而对服务器造成严重影响。

解决方法：

升级 org.apache.tomcat.embed 依赖版本到 9.0.86。

修改pom.xml文件：

        <!-- tomcat -->         <dependency>             <groupId>org.apache.tomcat.embed</groupId>             <artifactId>tomcat-embed-core</artifactId>             <version>9.0.86</version>         </dependency>         <dependency>             <groupId>org.apache.tomcat.embed</groupId>             <artifactId>tomcat-embed-el</artifactId>             <version>9.0.86</version>         </dependency>         <dependency>             <groupId>org.apache.tomcat.embed</groupId>             <artifactId>tomcat-embed-websocket</artifactId>             <version>9.0.86</version>         </dependency>         <dependency>             <groupId>org.apache.tomcat</groupId>             <artifactId>tomcat-annotations-api</artifactId>             <version>9.0.86</version>         </dependency>          <!-- Exclude conflicting dependencies -->         <dependency>             <groupId>org.springframework.boot</groupId>             <artifactId>spring-boot-starter-tomcat</artifactId>             <exclusions>                 <exclusion>                     <groupId>org.apache.tomcat.embed</groupId>                     <artifactId>tomcat-embed-core</artifactId>                 </exclusion>                 <exclusion>                     <groupId>org.apache.tomcat.embed</groupId>                     <artifactId>tomcat-embed-el</artifactId>                 </exclusion>                 <exclusion>                     <groupId>org.apache.tomcat.embed</groupId>                     <artifactId>tomcat-embed-websocket</artifactId>                 </exclusion>             </exclusions>         </dependency>          <dependency>             <groupId>org.springframework.boot</groupId>             <artifactId>spring-boot-starter-web</artifactId>             <exclusions>                 <exclusion>                     <groupId>org.apache.tomcat.embed</groupId>                     <artifactId>tomcat-embed-core</artifactId>                 </exclusion>                 <exclusion>                     <groupId>org.apache.tomcat.embed</groupId>                     <artifactId>tomcat-embed-el</artifactId>                 </exclusion>                 <exclusion>                     <groupId>org.apache.tomcat.embed</groupId>                     <artifactId>tomcat-embed-websocket</artifactId>                 </exclusion>             </exclusions>         </dependency>