预警公告 高危
近日,安全聚团队监测到Apach Tomcat官方发布安全公告,Apache Tomcat HTTP/2 中存在拒绝服务漏洞 ,编号为:CVE-2024-34750,CVSS:7.5 此漏洞可能导致攻击者通过发送大量的HTTP头来维持Apache Tomcat服务器的持久连接,导致服务器资源耗尽,最终引发拒绝服务攻击。
01
漏洞描述
Apache Tomcat是一个开源的Java Servlet容器,它实现了Java Servlet和JavaServer Pages规范,提供了一个环境来运行Java代码的Web应用程序。作为一个轻量级且高性能的容器,Tomcat被广泛用于托管Java Web应用程序。Apache Tomcat HTTP/2 拒绝服务漏洞,该漏洞在处理HTTP/2流时未能正确处理异常的HTTP头情况,导致HTTP/2流计数错误。这使得处理该请求时会允许无限超时,无法关闭原本应该终止的连接,从而引发拒绝服务攻击。
02
影响范围
11.0.0-M1 <= Apache Tomcat <= 11.0.0-M20
10.1.0-M1 <= Apache Tomcat <= 10.1.24
9.0.0-M1 <= Apache Tomcat <= 9.0.89
03
安全措施
目前该漏洞已经修复,建议用户升级到以下 Apache Tomcat 的修复版本或更高的版本:
Apache Tomcat >= 11.0.0-M21
Apache Tomcat >= 10.1.25
Apache Tomcat >= 9.0.90
下载链接:https://tomcat.apache.org/index.html
04
参考链接
1.https://lists.apache.org/thread/4kqf0bc9gxymjc2x7v3p7dvplnl77y8l
2.https://nvd.nist.gov/vuln/detail/CVE-2024-34750
05
技术支持
长按识别二维码,关注“安全聚”公众号,联系我们的团队技术支持。
