Apache Tomcat 拒绝服务漏洞CVE-2024-38286预警

Tomcat 是 Apache 软件基金会所属的Jakarta项目开发的流行的基于HTTP协议的开源Web服务器和Java Servlet容器。

因其先进的技术理念、稳定的性能而且免费开源，深受广大Java爱好者和站长的喜爱，是目前主流Web应用服务器。

一、 基本情况

Apache软件基金会日前发布一个关于Apache Tomcat新发现漏洞的安全公告，该漏洞已被标记为CVE-2024-38286。

该漏洞的存在使得Apache Tomcat在某些配置下处理 TLS握手过程的方式中存在安全问题，其重要性被评级为重要。

漏洞可能导致威胁者通过滥用TLS握手过程导致内存过度消耗，从而引发OutOfMemoryError并可能导致 DoS 攻击。

二、 漏洞描述

Apache Tomcat 日前修复了一个拒绝服务漏洞，该漏洞标记为CVE-2024-38286，影响多个版本的Apache Tomcat。

该漏洞源自Tomcat在某些配置下处理TLS握手过程的方式，可导致攻击者通过滥用TLS握手过程产生内存过度消耗。

攻击者利用该漏洞可能会引发 OutOfMemoryError，导致服务器崩溃，从而中断依赖该服务的任何应用程序和服务。

众所周知，Apache Tomcat 是目前主流应用服务器，因此成功利用该漏洞可能导致组织服务大面积停机，影响服务。

三、 影响范围

Apache Tomcat 11.0.0-M1 - 11.0.0-M20

Apache Tomcat 10.1.0-M1 - 10.1.24

Apache Tomcat 9.0.13 - 9.0.89

四、 修复建议

目前该漏洞已经修复，受影响Apache Tomcat用户（所有平台）需升级到以下版本：

Apache Tomcat >= 11.0.0-M21

Apache Tomcat >= 10.1.25

Apache Tomcat >= 9.0.90

五、参考链接

https://lists.apache.org/thread/8xm50bvr6rhbjkdtbxl5x4d20dpfy83p

https://github.com/apache/tomcat/commit/3197862639732e16ec1164557bcd289ebc116c93