CVE-2024-24549 Apache Tomcat - Denial of Service

已于 2024-07-16 19:16:16 修改
阅读量298 收藏 1
点赞数 8
分类专栏: tomcat 文章标签: apache tomcat java
于 2024-07-16 19:05:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spencer_tseng/article/details/140473914
版权

https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg

Apache Tomcat输入验证错误漏洞,HTTP/2请求的输入验证不正确,会导致拒绝服务,可以借助该漏洞攻击服务器。

https://mvnrepository.com/artifact/org.apache.tomcat.embed/tomcat-embed-core

         <!-- [SECURITY] CVE-2024-24549 Apache Tomcat - Denial of Service 
              Upgrade to Apache Tomcat 8.5.99 or later
              @author ZengWenFeng
              @date 2024.07.16
              @mobile 13805029595
        -->
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>8.5.99</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>8.5.99</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>8.5.99</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>8.5.99</version>
        </dependency>

spencer_tseng
关注
  • 8
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Apache Tomcat和拒绝服务漏洞
danpu0978的博客
04-18 1664
安全研究人员最近证实并在拒绝服务漏洞中提出,托管在Apache Tomcat服务器上的网站似乎容易受到拒绝服务攻击的威胁,这使Apache Tomcat服务器处于危险之中 。 Apache Tomcat服务器被广泛用于托管使用Java Servlet和JavaServer Pages(JSP)技术开发的应用程序。 Apache Commons FileUpload是一个独立的库,开发人员...
tomcat 升级到8.5.99后,系统启动不起来问题(修复 CVE-2024-24549 拒绝访问漏洞)
04-16
描述中提到的“在8.5.98基础上,增加了修复CVE-2024-24549拒绝访问漏洞的代码”,这表明Tomcat 8.5.99主要的更新内容是针对一个名为CVE-2024-24549的安全漏洞进行修复。CVE(Common Vulnerabilities and Exposures)...
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告
爱国小白帽
06-30 8287
CVE-2020-11996: Apache Tomcat HTTP/2 拒绝服务攻击漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 0x00 漏洞背景 2020年06月29日, 360CERT监测发现 apache 官方 发布了 Tomcat http/2 拒绝服务攻击 的风险通告,该漏洞编号为 CVE-2020-11996,漏洞等级:中危。 Tomcat是由Apache软件基金会下属的Jakarta项目开发的一个Servlet容器,按照Sun Mic
【系统安全】Apache Tomcat 漏洞修复
elab-i
11-24 8314
一、Apache Tomcat远程代码执行漏洞(CVE-2019-0232) Affects: 7.0.0 to 7.0.93 有补丁 二、Apache Tomcat拒绝服务漏洞(CVE-2016-3092) Affects: 7.0.0 to 7.0.69 无权限 三、Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014) 7.0.89已经修复 无权限 四、Apache Tomcat 安全限制绕过漏洞(CVE-20...
tomcat拒绝访问是为什么_Apache Tomcat websocket拒绝服务漏洞CVE202013935
weixin_39703982的博客
12-10 750
Tomcat官方于7月份修复了CVE-2020-13935 websocket 拒绝服务漏洞。近日,国外某安全团队公开了相关poc代码,在受影响版本内的Tomcat开启websocket的情况下将会导致拒绝服务。漏洞名称 :Apache Tomcat websocket拒绝服务漏洞CVE-2020-13935威胁等级 : 高危影响范围:Apache Tomcat 10.0.0-M1...
apache commons fileupload 安全漏洞(2016-07-01更新)
Jog熊吉的博客
07-22 5554
Apache Commons FileUpload安全漏洞 该页面列出所有Apache Commons FileUpload发行版中修复的安全漏洞。每个安全漏斗都由开发团队给予安全影响等级——请注意该等级可能给予系统而变化。我们还列出Commons FileUpload各版本已知漏洞的影响,以及各版本未证实漏洞会附带问号进行罗列。 请注意该页面未提供二进制文件补丁。如果你需要实施源码补丁,
struts2 CVE-2014-0050(DoS), CVE-2014-0094(ClassLoader manipulation) S2-20 DoS attacks and ClassLoade...
weixin_30808693的博客
07-15 149
catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix 1. Description 0x1: 相关基础知识 Object是java的基础类,所有的class生成的对象,都会继承Object的所有属性和方法,因此当前a...
CVE-2014-0050: Exploit with Boundaries, Loops without Boundaries、Apache Commons FileUpload and Apach...
weixin_30314631的博客
12-14 297
catalog 1. Description 2. Analysis 3. POC 4. Solution 1. Description MultipartStream.java in Apache Commons FileUpload before 1.3.1, as used in Apache Tomcat, JBoss Web, and other produc...
攻击JavaWeb应用————7、Server篇(上)
Fly_鹏程万里
05-18 1513
java应用服务器Java应用服务器主要为应用程序提供运行环境,为组件提供服务。Java 的应用服务器很多,从功能上分为两类:JSP 服务器和 Java EE 服务器。常见的Server概述常见的Java服务器:Tomcat、Weblogic、JBoss、GlassFish、Jetty、Resin、IBM Websphere、Bejy Tiger、Geronimo、Jonas、Jrun、Orion...
漏洞引擎
a1b2c3是弱口令
09-27 1636
漏洞引擎 最新最热 | CVE-2012-3526 | phpstudy后门 | 漏洞复现汇总 2019 2018 2017 2016 2015 其他 漏洞分类 Apache Http Server CVE Name CVSS CVE-2019-3878 libapache2-mod-auth-mellon – security upda...
exploit (Linux 内核CVE-2024-1086漏洞复现脚本)
06-06
Linux 内核CVE-2024-1086漏洞复现脚本。 在普通用户下,将文件上传后,chmod 777 exploit ,然后运行 ./exploit ,提权成功,输入id,可看到已经是root权限 。
CVE-2021-25646-Apache Druid漏洞POC.py
02-26
CVE-2021-25646-Apache Druid漏洞POC.py
CVE-2020-1938 Apache Tomcat 文件包含EXP
03-29
# CVE-2020-1938 Apache Tomcat 文件包含 影响版本: Tomcat6-9 Exp: ``` python CNVD-2020-10487-Tomcat-Ajp-lfi.py x.x.x.x -p 8009 -f urfile 一. 漏洞概述 2月20日,国家信息安全漏洞共享平台(CNVD)...
Apache功能配置:访问控制、日志分割; 部署AWStats日志分析工具
变成我......
07-10 1226
详细讲解Apache的功能配置(保持连接、访问控制、日志分割)AWStats日志分析工具的部署和操作步骤
Ubuntu系统上安装Apache和WordPress
qq_45026664的博客
07-11 373
ubuntu 安装wordpress环境
java内部类的本质
qq_43593646的博客
07-12 530
可以定义一个类Pair,包括最大值和最小值,但Pair这个名字太普遍,而且它主要是类内部使用的,就可以定义为一个静态内部类。内部类访问了外部类的一个私有静态变量shared,而我们知道私有变量是不能被类外部访问的,Java的解决方法是:自动为Outer生成一个非私有访问方法access$0,它返回这个私有静态变量shared。外部类的一些方法的返回值可能是某个接口,为了返回这个接口,外部类方法可能使用内部类实现这个接口,这个内部类可以被设为private,对外完全隐藏。
TG创建小程序交互APP登录以及机器人信息
最新发布
qq_38935605的博客
07-12 348
现在请为您的 Web 应用选择一个简称:3-30 个字符,a-zA-Z0-9_。此简称将用于 t.me/TetrisHayDenBot/myapp 等 URL,并作为您的 Web 应用的唯一标识符。编辑命令 : 编辑命令以后机器人对话框旁边会出现菜单,点击菜单可以出现我们编辑d。完成以后会要我们 :现在上传演示 GIF 或发送/empty 以跳过此步骤。命令,选择关联小程序的机器人。我们跳过以后会让我们输入小程序外部链接的https的url。将我们机器人菜单改为自定义按钮。编辑描述 : 机器人的描述。
CVE-2024-30078
06-22
CVE-2024-30078是一个安全漏洞的标识符,它通常被用于描述软件产品中的潜在安全风险。这种标识符由美国Computer Emergency Response Team (CERT)和Carnegie Mellon University Software Engineering Institute (SEI)共同维护,按照标准格式CVE-YYYY-NNNN分配。 具体到CVE-2024-30078,由于没有实时更新的数据,我无法提供详细的细节。不过一般情况下,CVE表示"Common Vulnerabilities and Exposures",即常见漏洞和暴露,它描述了软件中存在的弱点,可能被恶意攻击者利用来进行诸如数据泄露、权限提升等攻击。 要了解CVE-2024-30078的具体信息,包括受影响的软件、漏洞类型、攻击向量以及可能的修复措施,建议查看官方的安全公告、厂商发布的声明或使用权威的漏洞数据库,如CVE Details、NVD(National Vulnerability Database)等网站。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值