SpringBoot解决Apache Tomcat输入验证错误漏洞

时间:2025/7/12 14:49:35来源：https://blog.csdn.net/watson2017/article/details/140448388 浏览次数:0次

ApacheTomcat 输入验证错误漏洞(CVE-2024-24549)

CVE编号

CVE-2024-24549

漏洞描述

Apache Tomcat是美国阿帕奇（Apache）基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page（JSP）的支持。 Apache Tomcat存在输入验证错误漏洞，该漏洞源于HTTP/2请求的输入验证不正确，会导致拒绝服务。
修复方案
目前，官方漏洞修复版本已经发布。建议用户升级到安全修复版本： 8.0.x 用户升级组件到 8.5.99 版； 9.0.x 用户升级组件到 9.0.86 版； 10.0.x 用户升级组件到 10.1.19 版； 11.0.x 用户升级组件到 11.0.0-M17 版。参考链接：https://tomcat.apache.org/
扫描到服务器存在漏洞风险，建议立即对相关主机进行快照备份，避免遭受损失。
参考链接
https://lists.apache.org/thread/4c50rmomhbbsdgfjsgwlb51xdwfjdcvg

Apache Tomcat中存在一个输入验证错误（也称为CVE-2024-24549）漏洞，在处理HTTP/2请求时，如果请求超过任何标头的配置限制，则在处理完所有标头之前，关联的HTTP/2流不会重置。该漏洞可能导致拒绝服务攻击，使得合法用户无法正常使用服务。攻击者可以通过构造特制的HTTP请求来触发该漏洞，从而对服务器造成严重影响。

解决方法：

升级 org.apache.tomcat.embed 依赖版本到 9.0.86。

修改pom.xml文件：

        <!-- tomcat --><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId><version>9.0.86</version></dependency><dependency><groupId>org.apache.tomcat</groupId><artifactId>tomcat-annotations-api</artifactId><version>9.0.86</version></dependency><!-- Exclude conflicting dependencies --><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-tomcat</artifactId><exclusions><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId></exclusion></exclusions></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId><exclusions><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-core</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-el</artifactId></exclusion><exclusion><groupId>org.apache.tomcat.embed</groupId><artifactId>tomcat-embed-websocket</artifactId></exclusion></exclusions></dependency>

关键字：SpringBoot解决Apache Tomcat输入验证错误漏洞

本网仅为发布的内容提供存储空间，不对发表、转载的内容提供任何形式的保证。凡本网注明“来源：XXX网络”的作品，均转载自其它媒体，著作权归作者所有，商业转载请联系作者获得授权，非商业转载请注明出处。

我们尊重并感谢每一位作者，均已注明文章来源和作者。如因作品内容、版权或其它问题，请及时与我们联系，联系邮箱：809451989@qq.com，投稿邮箱：809451989@qq.com

责任编辑：