文章预览
一、漏洞 概述 漏洞名称 Apache Tomcat拒绝服务漏洞 CVE ID CVE-2024-38286 漏洞类型 Dos 发现时间 2024-09-24 漏洞评分 7.5 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 未公开 在野利用 未发现 Apache Tomcat是一个流行的开源Web服务器和Java Servlet容器。 2024年9月24日,启明星辰集团VSRC监测到Apache Tomcat中修复了一个拒绝服务漏洞(CVE-2024-38286)。 Apache Tomcat在某些配置下处理 TLS 握手过程的方式中存在安全问题,可能导致威胁者通过滥用TLS握手过程导致内存过度消耗,从而引发OutOfMemoryError并可能导致拒绝服务。 二、影响范围 Apache Tomcat 11.0.0-M1 - 11.0.0-M20 Apache Tomcat 10.1.0-M1 - 10.1.24 Apache Tomcat 9.0.13 - 9.0.89 三、安全措施 3.1 升级版本 目前该漏洞已经修复,受影响Apache Tomcat用户(所有平台)可升级到以下版本: Apache Tomcat >= 11.0.0-M21 Apache Tomca
………………………………
