摘要:
tomcat security update
安全等级: High
公告ID: KylinSec-SA-2024-4210
发布日期: 2024年11月15日
关联CVE: CVE-2021-43980 CVE-2022-25762 CVE-2023-44487 CVE-2023-46589 CVE-2024-23672 CVE-2024-24549 CVE-2024-34750
Apache Tomcat 软件是在开放和参与性环境中开发的,并在 Apache 许可证第 2 版下发布。Apache Tomcat 项目旨在成为全球最佳开发者的合作项目。我们邀请您参与这个开放的开发项目。
安全修复:
在 Tomcat 10 中引入的简化的阻塞读写实现,并回溯到 Tomcat 9.0.47 及以后版本,暴露了 Apache Tomcat 10.1.0 至 10.1.0-M12、10.0.0-M1 至 10.0.18、9.0.0-M1 至 9.0.60 和 8.5.0 至 8.5.77 中长期存在(但极难触发)的并发漏洞,可能导致客户端连接共享 Http11Processor 实例,从而使得响应或部分响应被错误的客户端接收。(CVE-2021-43980)
如果 Web 应用程序在 Apache Tomcat 8.5.0 至 8.5.75 或 Apache Tomcat 9.0.0.M1 至 9.0.20 上运行时,同时发送 WebSocket 消息和关闭 WebSocket 连接,可能会导致应用程序在套接字关闭后继续使用它。这种情况下触发的错误处理可能导致一个池化对象被放入池中两次。这可能导致后续连接同时使用同一个对象,从而可能导致数据被错误地返回给用户和/或其他错误。(CVE-2022-25762)
HTTP/2 协议允许拒绝服务(服务器资源消耗),因为请求取消可以快速重置许多流,正如 2023 年 8 月至 10 月在野外被利用的那样。(CVE-2023-44487)
Apache Tomcat 中的不当输入验证漏洞。从 11.0.0-M1 至 11.0.0-M10、从 10.1.0-M1 至 10.1.15、从 9.0.0-M1 至 9.0.82 和从 8.5.0 至 8.5.95,Tomcat 没有正确解析 HTTP 拖车头。超过头部大小限制的拖车头可能导致 Tomcat 将单个请求视为多个请求,导致在反向代理后可能发生请求走私。
建议用户升级到 11.0.0-M11 及以后版本、10.1.16 及以后版本、9.0.83 及以后版本或 8.5.96 及以后版本,这些版本修复了问题。(CVE-2023-46589)
通过不完全清理导致的服务拒绝漏洞在 Apache Tomcat 中。WebSocket 客户端可能保持 WebSocket 连接开放,导致资源消耗增加。这个问题影响 Apache Tomcat:从 11.0.0-M1 至 11.0.0-M16、从 10.1.0-M1 至 10.1.18、从 9.0.0-M1 至 9.0.85、从 8.5.0 至 8.5.98。
建议用户升级到 11.0.0-M17、10.1.19、9.0.86 或 8.5.99,这些版本修复了问题。(CVE-2024-23672)
由于 HTTP/2 请求的不当输入验证漏洞导致的服务拒绝。在处理 HTTP/2 请求时,如果请求超过了配置的头部限制,相关的 HTTP/2 流在所有头部都被处理后才被重置。这个问题影响 Apache Tomcat:从 11.0.0-M1 至 11.0.0-M16、从 10.1.0-M1 至 10.1.18、从 9.0.0-M1 至 9.0.85、从 8.5.0 至 8.5.98。
建议用户升级到 11.0.0-M17、10.1.19、9.0.86 或 8.5.99,这些版本修复了问题。(CVE-2024-24549)
异常条件处理不当、不受控制的资源消耗漏洞在 Apache Tomcat 中。在处理 HTTP/2 流时,Tomcat 没有正确处理一些过度 HTTP 头部的情况。这导致活跃 HTTP/2 流的计数错误,进而导致使用错误的无限超时,允许应该关闭的连接保持开放。
这个问题影响 Apache Tomcat:从 11.0.0-M1 至 11.0.0-M20、从 10.1.0-M1 至 10.1.24、从 9.0.0-M1 至 9.0.89。
建议用户升级到 11.0.0-M21、10.1.25 或 9.0.90,这些版本修复了问题。(CVE-2024-34750)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2021-43980 | KY3.5.2 | tomcat | Fixed |
| CVE-2022-25762 | KY3.5.2 | tomcat | Fixed |
| CVE-2023-44487 | KY3.5.2 | tomcat | Fixed |
| CVE-2023-46589 | KY3.5.2 | tomcat | Fixed |
| CVE-2024-23672 | KY3.5.2 | tomcat | Fixed |
| CVE-2024-24549 | KY3.5.2 | tomcat | Fixed |
| CVE-2024-34750 | KY3.5.2 | tomcat | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| tomcat | noarch | 9.0.96-1.ky3_5 |
| tomcat-help | noarch | 9.0.96-1.ky3_5 |
| tomcat-jsvc | noarch | 9.0.96-1.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
