一、漏洞详情
apache tomcat是一个开源的java servlet容器,广泛用于运行java web应用程序。近日,监测到官方修复apache tomcat http/2拒绝服务漏洞(cve-2024-34750),该漏洞是一个拒绝服务漏洞,apache tomcat在处理http/2流时,未能正确处理某些异常http头情况,导致http/2流计数错误,从而导致处理该请求时允许无限超时,无法关闭本应该终止的连接。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
9.0.0-m1 <= apache tomcat <= 9.0.89
10.1.0-m1 <= apache tomcat <= 10.1.24
11.0.0-m1 <= apache tomcat <= 11.0.0-m20
三、修复建议
建议用户升级到以下 apache tomcat 的修复版本或更高的版本:
apache tomcat 11.0.0-m21
apache tomcat 10.1.25
apache tomcat 9.0.90
