Springboot 修改Tomcat版本 修复Tomcat CVE-2024-21733 漏洞

于 2024-08-15 09:57:23 发布
阅读量315 收藏 3
点赞数 5
分类专栏: 网络安全专区 文章标签: spring boot tomcat 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aa5305123/article/details/141209993
版权

        Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。Coyote是Tomcat的连接器组件,是Tomcat服务器提供的供客户端访问的外部接口,客户端通过Coyote与服务器建立链接、发送请求并且接收响应。

        2024年1月22日,启明星辰VSRC监测到Apache Tomcat中修复了一个信息泄露漏洞(CVE-2024-21733)。

        Apache Tomcat版本 9.0.0-M11 - 9.0.43、8.5.7 - 8.5.63中存在信息泄露漏洞,由于coyote/http11/Http11InputBuffer.java中在抛出CloseNowException异常后没有重置缓冲区位置和限制,威胁者可发送不完整的POST请求触发错误响应,从而可能导致获取其他用户先前请求的数据。

二、影响范围

        Apache Tomcat 9.0.0-M11 - 9.0.43

        Apache Tomcat 8.5.7 - 8.5.63

三、安全措施

3.1 升级版本

        目前该漏洞已经修复,受影响用户可升级到以下版本:

        Apache Tomcat >= 9.0.44

        Apache Tomcat >= 8.5.64

四、修改Springboot 内置Tomcat版本

4.1 查看Springboot内置版本

        可以在idea 项目里pom.xml 右键Maven-->show effective POM,搜索查看内置的Tomcat版本。

        也可以在mvnrepository.com 查看对应对应Springboot starter parent 版本,比如2.0.4.RELEASE

https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-parent/2.0.4.RELEASE

在【Managed Dependencies (679)】里,搜索Tomcat,可以看到版本。

4.2 修改Springboot Tomcat版本

        在pom.xml文件的<properties></properties>里新增<tomcat.version>9.0.44</tomcat.version>。

4.3 验证Springboot Tomcat版本

启动Springboot 项目,然后看启动日志,里面版本是目标版本,修改成功。

扎克begod
关注
  • 5
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot修改内置tomcat版本修复Tomcat 信息泄露漏洞(CVE-2021-24122)和不安全的反序列、拒绝服务攻击等漏洞
雁来南风起,东去春归来
07-28 4425
原来自己用的springboot版本是2.1.13.RELEASE,其内置tomcat版本是9.0.31,漏洞扫描时会有如题等漏洞,并提示将Tomcat升级到8.5.56、9.0.36、10.0.0-M6及以上版本,下载地址http//archive.apache.org/dist/tomcat/2、排除spring-boot-starter-web中的内置spring-boot-starter-tomcat。我的项目结构如下,里面的web、data是两个独立的项目。...
Apache Tomcat 信息泄露漏洞CVE-2024-21733CVE-2024-24549和CVE-2024-34750排查处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
08-14 2000
现场的为中小型项目,未直接使用功能tomcat作为容器使用,仅是jar包里spring-boor框架引入tomcat 内嵌到 web项目中作为web server使用,从而保证项目包可直接运行 webapp项目,无需再部署到额外的tomcat服务了;当不想因为Tomcat就改变SpringBoot版本时,可以采用排除SpringBoot中的Tomcat包,然后手动指定新的Tomcat版本来实现升级内置组件的目的,当然还要引入Tomcat相关的包。其中,Coyote作为Tomcat的。
tomcat9漏洞CVE-2024-23672
mzh10588的博客
07-10 1083
Apache Tomcat 输入验证错误漏洞(CVE-2024-24549)Apache Tomcat 11.0.0-M1到11.0.0-M16、‌。Apache Tomcat 安全漏洞(CVE-2024-23672)漏洞名称:CVE-2024-23672。8.5.0到8.5.98等受影响的版本。10.1.0-M1到10.1.18。9.0.0-M1到9.0.85。
指定SpringBoot内嵌Tomcat版本修复(CVE-2021-42340)漏洞
热门推荐
zzhongcy的专栏
11-15 1万+
1、查看当前使用的Tomcat版本号 1.1、Maven Repository中查看 比如我们需要查Spring Boot 2.3.12.RELEASE 的内嵌Tomcat版本, 可以打开链接: https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-parent/2.3.12.RELEASE 如下图, 红框标记的就是tomcat版本。 1.2、查看depen...
Apache Tomcat 最新信息泄露漏洞CVE-2023-28708详情及解决方案,springboot版本的对应的内嵌tomcat版本查看,tomcat相关。
CJ_L1995的博客
05-20 3922
Tomcat 最新信息泄露漏洞CVE-2023-28708,解决方案。
SpringBoot解决Apache Tomcat输入验证错误漏洞
培根芝士的专栏
07-15 910
ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)CVE编号漏洞描述Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证不正确,会导致拒绝服务。修复方案目前,官方漏洞修复版本已经发布。建议用户升级到安全修复版本: 8.0.x 用户升级组件到 8.5.99 版;
Apache Tomcat 存在 JsonErrorReportValve 注入漏洞CVE-2022-45143)
murphysec的博客
01-05 6564
在Apache Zeppelin 0.10.1及以前的版本中“Move folder to Trash”功能存在路径遍历漏洞,由于未对InterpreterSettingManager类remove方法中id参数进行正确校验,攻击者可通过构造包含…/的参数实现路径穿越,利用漏洞删除zeppelin相关或其他任意文件。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。
springboot内嵌Tomcat 安全漏洞修复
一个程序员的专栏
03-02 4085
内嵌tomcat升级版本
【春秋云镜】CVE-2024-22733 Apache ShardingSphere ElasticJob UI 敏感信息泄漏漏洞 解题思路
2401_84240369的博客
04-11 3208
都没反应,guest用户没权限增加什么东西,那怎么办,进行不下去了,哦,他说返回token中,到这页面没变化,没有法和服务器交互,那肯定就没有返回值了,唯一有交互的地方就是guest/guest登录界面有交互,抓包!当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞
04-16
描述中提到的“在8.5.98基础上,增加了修复CVE-2024-24549拒绝访问漏洞的代码”,这表明Tomcat 8.5.99主要的更新内容是针对一个名为CVE-2024-24549的安全漏洞进行修复CVE(Common Vulnerabilities and Exposures)...
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
修复漏洞后,建议进行渗透测试,确认漏洞已完全消除。同时,教育团队成员关于这类安全问题,提升整个团队的安全意识,是防止未来类似事件的重要步骤。 总之,Apache Tomcat 文件包含漏洞是一个严重的问题,需要及时...
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器...
openssh9.8p1安装升级rpm包,修复CVE-2024-6387漏洞
07-13
安装版本:OpenSSH_9.8p1, OpenSSL 1.1.1w 11 Sep 2023 升级步骤 1、上传文件到opt目录; 2、yum remove openssh 3、yum localinstall openssh-* 4,检查版本 ssh -V 注意,由于需要卸载oepnssh,需要保持连接状态...
MybatisPlus之租户拦截器TenantLineInnerInterceptor使用攻略
Mr朱鹏的博客
08-12 480
MybatisPlus之租户拦截器TenantLineInnerInterceptor使用攻略
人格障碍诊断系统
a253399414的博客
08-14 921
【代码】springboot人格障碍诊断系统
Spring boot logback日志框架加载初始化源码
u014200244的专栏
08-08 380
/取出配置文件log xml配置。##实例化xml配置节点日志对象ch.qos.logback.core.rolling.RollingFileAppender。##添加到appenderList集合容器,循环调用输出日志到文件或控制台。##日志对象存到这个InterpretationContext上下文。##Spring boot 集成logback日志框架。
定时任务之Quartz
Listen·Rain的博客
08-12 738
定义:Quartz是一个灵活的、开源的作业调度库,用于在Java应用程序中根据时间间隔或特定条件来调度作业的执行。特点强大的调度功能:支持丰富的调度方法,可以满足各种常规和特殊需求。灵活的应用方式:支持任务调度和任务的多种组合,支持数据的多种存储。分布式集群支持:在被Terracotta收购后,Quartz在原来基础上进行了进一步的改造,支持分布式集群,实现故障切换和负载平衡,提高系统的可用性和伸缩性。
修复CVE-2024-21733漏洞
最新发布
08-15
CVE-2024-21733是一个未公开的安全漏洞(Common Vulnerabilities and Exposures,缩写为CVE),它通常指的是特定软件或系统中存在的安全弱点。由于这个漏洞的具体细节没有在公开资料中详细说明,我无法提供详细的修复步骤,因为每个漏洞修复方法都依赖于其具体性质和受影响的应用环境。 修复此类漏洞的一般流程包括: 1. **确认漏洞**:首先需要确定你的系统是否受到了该漏洞的影响,查看厂商发布的公告或更新日志。 2. **获取补丁或更新**:如果发现受威胁,尽快从官方渠道下载并安装针对此漏洞的安全补丁或软件更新。 3. **分析影响**:理解漏洞如何利用,以防止类似攻击发生,并修改潜在的脆弱代码。 4. **配置防火墙和安全规则**:检查系统防火墙设置,确保只有授权流量能访问受影响的服务。 5. **审计日志**:启用更详细的日志记录以便追踪未来的异常活动。 6. **重新评估安全策略**:漏洞修复后,应该审查整个安全策略,以强化整体防御。 由于这是一个假设性的漏洞,具体的解决方案会因漏洞类型(如代码注入、权限提升等)和所用技术栈的不同而有所变化。如果你面临真实的漏洞修复任务,请咨询专业的安全团队或查阅相关文档进行操作。如果你有具体应用或系统的详情,我可以帮助你了解更针对性的防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值