Apache Tomcat 多项安全漏洞
Apache Tomcat 多项安全漏洞
网安百色 2025-03-11 19:28
点击上方
蓝字
关注我们吧~
Apache Tomcat 作为广泛使用的开源 Web 服务器软件,近年来暴露出多个安全漏洞。
部分严重问题使服务器面临远程代码执行(RCE)等攻击风险。
这些漏洞凸显了保持软件最新版本并正确配置的重要性,以防止潜在的攻击利用。
详细漏洞信息
以下是 Apache Tomcat 漏洞的 CVE(常见漏洞和暴露)摘要:
| CVE | 漏洞类型 | 描述 | 受影响版本 |
|---|---|---|---|
| CVE-2025-24813 | 远程代码执行 & 信息泄露 | 部分 PUT 操作中的临时文件漏洞,可能允许访问安全敏感文件,并在特定条件下实现远程代码执行。 | 11.0.0-M1 至 11.0.2 |
| CVE-2024-56337 | 远程代码执行 | 对 CVE-2024-50379 的不完全修复,需在区分大小写的文件系统上进行额外配置。 | 11.0.0-M1 至 11.0.1 |
| CVE-2024-54677 | 拒绝服务(DoS) | 示例 Web 应用程序中,因未限制上传数据大小,可能导致 OutOfMemoryError。 | 11.0.0-M1 至 11.0.1 |
| CVE-2024-50379 | 远程代码执行 | 通过在区分大小写的文件系统上启用默认 Servlet 写入功能,可导致 RCE。 | 11.0.0-M1 至 11.0.1 |
| CVE-2024-52318 | 跨站脚本(XSS) | JSP 标签池的未转义输出可能导致 XSS 攻击。 | 11.0.0 |
| CVE-2024-52317 | 请求和响应混淆 | HTTP/2 请求错误回收,可能导致用户数据混淆。 | 11.0.0-M23 至 11.0.0-M26 |
| CVE-2024-52316 | 认证绕过 | 若自定义身份验证组件在异常情况下未正确设置失败状态,则可能导致绕过身份验证。 | 11.0.0-M1 至 11.0.0-M26 |
| CVE-2024-38286 | 拒绝服务 | 滥用 TLS 握手过程可能触发 OutOfMemoryError。 | 11.0.0-M1 至 11.0.0-M20 |
| CVE-2024-34750 | 拒绝服务 | HTTP/2 流处理错误导致活动流计数不正确。 | 11.0.0-M1 至 11.0.0-M20 |
| CVE-2024-23672 | 拒绝服务 | WebSocket 客户端可保持连接,导致资源耗尽。 | 11.0.0-M1 至 11.0.0-M16 |
| CVE-2024-24549 | 拒绝服务 | HTTP/2 头部限制超出后未正确重置流。 | 11.0.0-M1 至 11.0.0-M16 |
| CVE-2023-45648 | 请求走私 | HTTP Trailer 头部解析错误,可能导致请求走私攻击。 | 11.0.0-M1 至 11.0.0-M11 |
| CVE-2023-44487 | 拒绝服务 | 快速重置攻击可能导致 HTTP/2 触发 OutOfMemoryError。 | 11.0.0-M1 至 11.0.0-M11 |
| CVE-2023-42795 | 信息泄露 | 请求/响应回收不完整,可能导致信息泄露。 | 11.0.0-M1 至 11.0.0-M11 |
| CVE-2023-41080 | 开放重定向 | 特定格式的 URL 可能在特定条件下触发重定向。 | 11.0.0-M1 至 11.0.0-M10 |
| CVE-2023-46589 | 请求走私 | 超过大小限制的 Trailer 头部可能导致请求走私。 | 11.0.0-M1 至 11.0.0-M10 |
| CVE-2023-34981 | 信息泄露 | AJP SEND_HEADERS 消息处理回归问题可能导致头部信息泄露。 | 11.0.0-M5 |
| CVE-2023-28709 | 拒绝服务 | 之前 DoS 漏洞的修复不完整,影响查询字符串参数处理。 | 11.0.0-M2 至 11.0.0-M4 |
| CVE-2023-28708 | 信息泄露 | 使用 RemoteIpFilter 时,Session Cookie 缺少 Secure 属性。 | 11.0.0-M1 至 11.0.0-M2 |
| CVE-2023-24998 | 拒绝服务 | 未限制的文件上传部分可能导致资源耗尽。 | 11.0.0-M1 |
降低风险的措施
1. 升级软件确保 Apache Tomcat 及相关软件更新至最新版本,以修补已知漏洞。
2. 禁用默认 Servlet 写入默认情况下,Tomcat 禁止对默认 Servlet 进行写操作,除非必要,请保持此设置不变。
3. 正确配置定期检查配置文件,确保符合最佳安全实践,减少潜在攻击面。
4. 监控系统资源关注系统资源使用情况,以便快速发现并应对可能的拒绝服务攻击。
5. 定期安全审计与测试开展定期的安全审计和渗透测试,发现并修复配置错误和潜在漏洞。
持续维护与安全管理
Apache Tomcat 不断曝出的漏洞,强调了强健安全措施和定期软件更新的重要性。
尽管许多问题可以通过更新修复,但了解这些漏洞的本质,有助于管理员更好地保护服务器免受潜在威胁。
服务器的持续监控与维护,是防范已知及新兴风险的关键。
来源:gbhackers
免责声明
:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!