悠扬随风 发表于 2024-9-1 13:54:01

SpringBoot解决Apache Tomcat输入验证错误漏洞

ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)
CVE编号
CVE-2024-24549
漏洞形貌
Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该步调实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2哀求的输入验证不正确,会导致拒绝服务。
修复方案
现在,官方漏洞修复版本已经发布。建议用户升级到安全修复版本: 8.0.x 用户升级组件到 8.5.99 版; 9.0.x 用户升级组件到 9.0.86 版; 10.0.x 用户升级组件到 10.1.19 版; 11.0.x 用户升级组件到 11.0.0-M17 版 。参考链接:https://tomcat.apache.org/
扫描到服务器存在漏洞风险,建议立即对相关主机进行快照备份,克制遭受损失。
参考链接
https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg
Apache Tomcat中存在一个输入验证错误(也称为CVE-2024-24549)漏洞,在处理HTTP/2哀求时,如果哀求超过任何标头的配置限制,则在处理完全部标头之前,关联的HTTP/2流不会重置。该漏洞可能导致拒绝服务攻击,使得合法用户无法正常利用服务。攻击者可以通过构造特制的HTTP哀求来触发该漏洞,从而对服务器造成严重影响。
解决方法:

升级 org.apache.tomcat.embed 依赖版本到 9.0.86。
修改pom.xml文件:
      <!-- tomcat -->
      <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>9.0.86</version>
      </dependency>
      <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>9.0.86</version>
      </dependency>
      <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>9.0.86</version>
      </dependency>
      <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>9.0.86</version>
      </dependency>

      <!-- Exclude conflicting dependencies -->
      <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-tomcat</artifactId>
            <exclusions>
                <exclusion>
                  <groupId>org.apache.tomcat.embed</groupId>
                  <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                  <groupId>org.apache.tomcat.embed</groupId>
                  <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                  <groupId>org.apache.tomcat.embed</groupId>
                  <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
            </exclusions>
      </dependency>

      <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                  <groupId>org.apache.tomcat.embed</groupId>
                  <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                  <groupId>org.apache.tomcat.embed</groupId>
                  <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                  <groupId>org.apache.tomcat.embed</groupId>
                  <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
            </exclusions>
      </dependency>

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页: [1]
查看完整版本: SpringBoot解决Apache Tomcat输入验证错误漏洞