Apache 软件基金会披露了 Apache Tomcat 中的一个重大安全漏洞,该漏洞可能允许攻击者绕过安全规则并通过操纵 HTTP 优先级标头 触发拒绝服务条件。
该高危漏洞编号为 CVE-2025-31650,影响多个 Tomcat 版本,对依赖此流行 Java 应用服务器的组织构成重大安全风险。
Apache Tomcat 拒绝服务漏洞
该漏洞源于 Apache Tomcat 在处理 HTTP 优先级标头时输入验证不当。
根据安全公告,“对某些无效 HTTP 优先级标头的错误处理不正确,导致失败的请求清理不完整,从而造成内存泄漏”。
当攻击者发送大量包含无效 HTTP 优先级标头的格式错误的请求时,他们可能会触发 OutOfMemoryException,从而导致拒绝服务,使应用程序不可用。
HTTP 优先级标头是 Web 通信的合法组件,它指示客户端对响应传递优先级顺序的偏好。
然而,这个新的漏洞表明 Tomcat 对这些标头的处理存在一个缺陷,无法正确验证和清理输入。
| 风险因素 | 细节 |
| 受影响的产品 | Apache Tomcat 9.0.76–9.0.102Apache Tomcat 10.1.10–10.1.39Apache Tomcat 11.0.0-M2–11.0.5 |
| 影响 | 拒绝服务(DoS) |
| 漏洞利用前提条件 | 攻击者必须发送大量带有无效 HTTP 优先级标头的 HTTP 请求;无需身份验证 |
| CVSS 3.1 评分 | 高的 |
受影响的版本
该漏洞影响以下 Apache Tomcat 版本:
- Apache Tomcat 11.0.0-M2 至 11.0.5
- Apache Tomcat 10.1.10 至 10.1.39
- Apache Tomcat 9.0.76 至 9.0.102
这些版本的用户应立即考虑升级到修补版本。
该漏洞利用了 Tomcat 处理内存资源的方式。当服务器收到无效的 HTTP Priority 标头时,它无法正确清理资源,从而造成内存泄漏。
正如报告中所指出的,“大量此类请求可能会触发 OutOfMemoryException,从而导致拒绝服务”。
这让人想起了之前的 Java 应用程序内存问题。正如一位系统管理员在之前的事件中指出的那样,“Tomcat 无法释放未使用的内存。它只会不断添加内存,最终达到其最大分配内存量”。
减轻
Apache 软件基金会建议采取以下缓解措施:
- 升级到 Apache Tomcat 11.0.6 或更高版本
- 升级到 Apache Tomcat 10.1.40 或更高版本
- 升级到 Apache Tomcat 9.0.104 或更高版本
尽管 9.0.103 版本已修复此问题,但“9.0.103 候选版本的发布投票未通过”,因此尽管包含修复程序,但此版本并不包含在受影响的版本中。
这是近几个月来第二个重大Apache Tomcat 漏洞。2025 年 3 月,CVE-2025-24813 被披露,这是一个 CVSS 评分为 9.8 的严重远程代码执行漏洞,攻击者可以利用该漏洞控制易受攻击的服务器。
鉴于此漏洞的严重性及其完全禁用 Web 应用程序的可能性,强烈建议立即采取行动。
发表评论
您还未登录,请先登录。
登录