当前位置: 首页 > news >正文

SpringBoot解决Apache Tomcat输入验证错误漏洞

news 2025/7/29 20:09:06

Apache Tomcat是美国阿帕奇(Apache)基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。 Apache Tomcat存在输入验证错误漏洞,该漏洞源于HTTP/2请求的输入验证不正确,会导致拒绝服务。
修复方案
目前,官方漏洞修复版本已经发布。建议用户升级到安全修复版本: 8.0.x 用户升级组件到 8.5.99 版; 9.0.x 用户升级组件到 9.0.86 版; 10.0.x 用户升级组件到 10.1.19 版; 11.0.x 用户升级组件到 11.0.0-M17 版 。参考链接:https://tomcat.apache.org/
扫描到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。
参考链接
https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg

Apache Tomcat中存在一个输入验证错误(也称为CVE-2022-23708)漏洞,这是因为Tomcat在处理HTTP/2请求时未能正确验证请求头部的大小,可能导致内存溢出漏洞。攻击者可以构造特制的HTTP/2请求,利用此漏洞发起攻击,如果攻击成功,可能会导致服务器崩溃或执行任意代码。

解决方法:

升级 org.apache.tomcat.embed 依赖版本到 9.0.86。

修改pom.xml文件:

        <!-- tomcat --><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat</groupId><artifactId>tomcat-annotations-api</artifactId><version>9.0.86</version></dependency><!-- Exclude conflicting dependencies --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-tomcat</artifactId><exclusions><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId></exclusion></exclusions></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId><exclusions><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId></exclusion></exclusions></dependency>

http://www.lryc.cn/news/400906.html

相关文章:

  • echarts解决数据差异过大的问题
  • Oracle 常用系统
  • WPS点击Zotero插入没有任何反应
  • uniapp 实现上传文件的功能
  • apache Kylin系列介绍及配置
  • 【Qt 初识】QPushButton 的详解以及 Qt 中的坐标
  • 道路运输企业管理人员安全考核试题(附答案)
  • 免费开源的工业物联网(IoT)解决方案
  • Android 底部导航栏实现
  • ASP.NET Core----基础学习07----ViewStart ViewImports文件的使用
  • 铁威马教程丨如何收集NAS的日志
  • Taro自定义FromData实现本地路径转换为文件
  • React+TS前台项目实战(二十九)-- 首页构建之性能优化实现首页Echarts模块数据渲染
  • 接口测试返回参数的自动化对比!
  • React基础学习-Day02
  • 切换网页visibilitychange,的升级版实现
  • 基于pytesseract的OCR图片识别
  • Docker_指令篇
  • HAL_UART_Transmit()函数用法
  • OpenCV一个简单的摄像头调用与关闭
  • 深度学习5 神经网络
  • js中! 、!!、?.、??、??=的用法及使用场景
  • 嵌入式面试高频八股文面试题及参考答案
  • 前端练习小项目——方向感应名片
  • 【Vim】为什么程序员喜欢用 Vim
  • stm32h743 NetXduo 实现http server CubeIDE+CubeMX
  • ubuntu服务器部署vue springboot前后端分离项目
  • 【python】pandas报错:UnicodeDecodeError详细分析,解决方案以及如何避免
  • FlinkModule加载HiveModule异常
  • 计算机硬件---如何更新自己电脑的BLOS