SpringBoot解决Apache Tomcat输入验证错误漏洞

已于 2024-07-16 20:41:38 修改
阅读量757 收藏 5
点赞数 1
分类专栏: Java 文章标签: spring boot tomcat
于 2024-07-15 20:39:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/watson2017/article/details/140448388
版权

ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)

CVE编号

CVE-2024-24549

漏洞描述

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证不正确,会导致拒绝服务。
修复方案
目前,官方漏洞修复版本已经发布。建议用户升级到安全修复版本: 8.0.x 用户升级组件到 8.5.99 版; 9.0.x 用户升级组件到 9.0.86 版; 10.0.x 用户升级组件到 10.1.19 版; 11.0.x 用户升级组件到 11.0.0-M17 版 。参考链接:https://tomcat.apache.org/
扫描到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。
参考链接
https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg

Apache Tomcat中存在一个输入验证错误(也称为CVE-2024-24549)漏洞,在处理HTTP/2请求时,如果请求超过任何标头的配置限制,则在处理完所有标头之前,关联的HTTP/2流不会重置。该漏洞可能导致拒绝服务攻击,使得合法用户无法正常使用服务。攻击者可以通过构造特制的HTTP请求来触发该漏洞,从而对服务器造成严重影响。

解决方法:

升级 org.apache.tomcat.embed 依赖版本到 9.0.86。

修改pom.xml文件:

        <!-- tomcat -->
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
            <version>9.0.86</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-el</artifactId>
            <version>9.0.86</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-websocket</artifactId>
            <version>9.0.86</version>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-annotations-api</artifactId>
            <version>9.0.86</version>
        </dependency>

        <!-- Exclude conflicting dependencies -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-tomcat</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <exclusions>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-core</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-el</artifactId>
                </exclusion>
                <exclusion>
                    <groupId>org.apache.tomcat.embed</groupId>
                    <artifactId>tomcat-embed-websocket</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

培根芝士
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tomcat常见漏洞
qq_46416934的博客
06-18 3228
目录前言一、任意文件上传1.1 影响版本1.2 初始配置1.3 漏洞详情二、CVE-2020-1938?文件包含漏洞2.1 影响版本2.2 漏洞详情三、未授权弱口令+war后门上传总结tomcatapache一样是一个免费的服务器,主要用于jsp框架的网站,可以看作是apache的一个扩展,但是运行的时候和apache属于不同的进程。本文主要介绍tomcat的未授权访问、任意文件上传、文件包含漏洞tomcat 7.0.x --------------cve-2017-12615需要在windows下将配
Apache Tomcat 漏洞复现
来日可期的博客
09-08 4616
Tomcat7 弱密码和后端 Getshell 漏洞,Aapache Tomcat AJP任意文件读取/包含漏洞,通过 PUT 方法的 Tomcat 任意写入文件漏洞
Spring Boot 中引入的部分Jar包升级或者改变版本&架构优化
最新发布
肖思凯的博客
07-18 954
当对应的springboot 引用的包存在安全漏洞是应该怎么办?Tomcat 输入验证错误漏洞(CVE-2023-46589) Tomcat 拒绝服务漏洞(CVE-2024-23672) Tomcat 拒绝服务漏洞(CVE-2024-24549) SnakeYAML 反序列化漏洞(CVE-2022-1471)不考虑升级Springboot ,因为改动太大,对项目影响较大 。 需要升级到的版本:将 snakeyaml 升级到 2.0 及以上版本将 Tomcat 升级到 11.0.0-M11、10.1.16、9
tomcat9漏洞CVE-2024-23672
mzh10588的博客
07-10 922
Apache Tomcat 输入验证错误漏洞(CVE-2024-24549)Apache Tomcat 11.0.0-M1到11.0.0-M16、‌。Apache Tomcat 安全漏洞(CVE-2024-23672)漏洞名称:CVE-2024-23672。8.5.0到8.5.98等受影响的版本。10.1.0-M1到10.1.18。9.0.0-M1到9.0.85。
Apache Tomcat 安全漏洞加固指南
乐大厨串串香飘万里
10-24 3094
存在安全漏洞,该漏洞源于如果一个HTTP/2客户端连接到超过约定的最大数量的并发流连接(违反HTTP / 2协议),它是可能的后续请求在该连接可以包含HTTP头信息,包括HTTP / 2伪头,从先前的请求而不是标题。以下产品及版本受到影响:10.0.0-M1版本至10.0.0-M7版本, 9.0.0.M1版本至9.0.37版本,8.5.0版本至8.5.57版本。将旧版本的备份的配置文件以及项目copy到新版本中。关掉旧版本的tomcat,启动新本本的tomcat。备份当前版本的配置文件到新建的目录中。
Tomcat AJP 文件包含漏洞CVE-2020-1938)
m0_61506558的博客
11-20 7932
1.漏洞简介1.漏洞简介2020年2月20日,公开CNVD 的漏洞公告中发现 Apache Tomcat文件包含漏洞CVE-2020-1938)。是Apache开源组织开发的用于处理HTTP服务的项目。Apache Tomcat 服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞,依赖于Tomcat的AJP(定向包协议)。AJP自身存在一定缺陷,导致存在可控参数。
Apache Tomcat安全漏洞列表及整改建议合集
热门推荐
story-xu的博客
08-08 1万+
描述: 安全整改目前已经成为安全运维工程师必备的技能之一,但是令人头疼的是,经常会应为一些整改问题,百度无数次,并且不知道标准是什么。下面就为大家总结了在近期web漏洞整改中,绿盟给出的漏洞报告及整改建议,方便大家参考与查找。 问题列表及整改建议列表: ...
tomcat漏洞的问题
积水成渊
02-26 1622
tomcat漏洞的问题 对于非容器化部署的项目,建议直接关闭ajp协议的方式处理 对于容器化部署的,直接升级版本 研发口这边我已经通知了 2月20日,国家信息安全漏洞共享平台(CNVD)发布了一则关于Apache Tomcat存在文件包含漏洞的安全公告,绿盟安全评估系统也同步向我们推送了有关该安全漏洞的预警通知。 公告中表示,存在于Apache Tomcat中的文件包含漏洞(CNVD-20...
springboot整合apache ftpserver详细教程(推荐)
08-25
主要介绍了springboot整合apache ftpserver详细教程,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
关于Apache Tomcat存在文件包含漏洞的整改方法
01-09
2020年1月6日,国家信息安全漏洞共享平台(CNVD)收录了由北京长亭科技有限公司发现并报送的Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。攻击者利用该漏洞,可在未授权的情况下远程读取特定...
关于对Apache Tomcat 文件包含高危漏洞开展安全加固的预警通报(1).doc
07-16
Apache Tomcat 文件包含高危漏洞修复措施 Apache Tomcat 文件包含高危漏洞CVE-2020-1938 对应 CNVD-2020-10487)是近期发现的一项高危安全漏洞,该漏洞存在于 Tomcat 服务器的 AJP 协议中,攻击者可以通过构造...
Apache Tomcat 文件包含漏洞(CNVD-2020-10487,对应 CVE-2020-1938)
03-05
文件包含漏洞通常发生在Web应用处理用户输入时,没有正确地过滤或验证输入,导致程序错误地包含了恶意用户提供的远程或本地文件路径。在Apache Tomcat 的情况下,这个漏洞Tomcat的`ServerPages (JSP)`和`Java...
Apache Tomcat 远程代码执行漏洞CVE-2019-0232)漏洞复现
玄道的网安博客
06-27 3672
前言 该漏洞只对Windows平台有效,攻击者向CGI Servlet发送请求,可在具有Apache Tomcat权限的系统上注入和执行任意操作系统命令。漏洞成因是当将参数从JRE传递到Windows环境时,由于CGI_Servlet中的输入验证错误而存在该漏洞。 影响版本 Apache Tomcat 9.0.0.M1 ~9.0.17 Apache Tomcat 8.5.0 ~8.5.39 Apache Tomcat 7.0.0 ~7.0.93 环境搭建 Apache Tomcat...
Apache Tomcat(CVE-2019-0232)远程代码执行漏洞复现
qq_17754023的博客
02-28 1975
0x00简介 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。实际上TomcatApache 服务器的扩展,但运行时它是独立运行的,所以当你运行tomcat 时,它实际上作为一个与Apache 独立的进程单独运行的。 0x01漏洞概述
CVE-2020-1938 Apache Tomcat 文件包含漏洞复现
weixin_43102772的博客
03-09 5322
CVE-2020-1938 Apache Tomcat 文件包含漏洞复现
中间件安全—Tomcat常见漏洞
剁椒鱼头没剁椒的博客
02-22 6114
链接。
Apache Tomcat 问题漏洞
weixin_45816407的博客
08-08 1326
Apache Tomcat 环境问题漏洞(CVE-2022-42252)Apache Tomcat 信息泄露漏洞(CVE-2023-28708)建议直接升级tomcat的小版本,即就是升级到最新版本注:跨版本升级请自行百度。
Apache Tomcat 安全漏洞(CVE-2020-13935)复现
fwdwqdwq的博客
08-01 4975
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。ApacheTomcat中的WebSocket存在安全漏洞,该漏洞源于程序没有正确验证payload的长度。靶机配置Docker。...
Apache Tomcat和拒绝服务漏洞
06-09
Apache Tomcat是一个流行的开源Java Servlet容器,可用于Web应用程序的部署。然而,Apache Tomcat也存在一些安全漏洞,其中包括拒绝服务漏洞。 拒绝服务漏洞(Denial of Service,DoS)是指攻击者通过向目标系统发送大量的请求或数据包,使其无法正常工作或响应其他合法用户的请求。在Apache Tomcat中,拒绝服务漏洞可能导致服务器崩溃或停止响应。 为了防止拒绝服务攻击,Apache Tomcat团队已经发布了多个补丁程序。对于使用Apache Tomcat的用户,应该定期更新到最新版本,并采取其他安全措施,如限制访问、使用防火墙等。此外,还应该注意安全最佳实践,如使用强密码、限制用户权限等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值