Apache Tomcat 安全更新修复拒绝服务与重写规则绕过漏洞
字数 1551 2025-08-29 22:41:38

Apache Tomcat 安全漏洞修复指南:CVE-2025-31650 和 CVE-2025-31651

漏洞概述

Apache 软件基金会于2025年4月29日发布了针对Apache Tomcat的重要安全更新,修复了两个关键漏洞:

  1. CVE-2025-31650 - 高危漏洞:无效HTTP优先级标头导致的拒绝服务
  2. CVE-2025-31651 - 低危漏洞:重写规则绕过漏洞

CVE-2025-31650:无效HTTP优先级标头导致的拒绝服务

漏洞详情

  • 严重等级:高危
  • 影响:处理无效HTTP优先级标头时的错误处理不当
  • 具体表现
    • 某些无效HTTP优先级标头的错误处理导致失败请求的清理不完整
    • 造成内存泄漏
    • 大量畸形请求可能触发OutOfMemoryException
    • 最终导致拒绝服务(DoS)

受影响版本

  • Apache Tomcat 11.0.0-M2 至 11.0.5
  • Apache Tomcat 10.1.10 至 10.1.39
  • Apache Tomcat 9.0.76 至 9.0.102

修复版本

  • Apache Tomcat 11.0.6 或更高版本
  • Apache Tomcat 10.1.40 或更高版本
  • Apache Tomcat 9.0.104 或更高版本

重要说明

  • 修复最初包含在Apache Tomcat 9.0.103中
  • 但9.0.103候选版本的发布投票未通过
  • 用户必须直接升级到9.0.104或更高版本才能获得官方修复

CVE-2025-31651:重写规则绕过漏洞

漏洞详情

  • 严重等级:低危
  • 影响:特定配置下的重写规则可能被绕过
  • 具体表现
    • 影响部分不太可能的重写规则设置
    • 精心构造的请求可能绕过某些重写规则
    • 如果这些重写规则对强制执行安全约束至关重要,可能允许攻击者绕过保护措施

受影响版本

  • Apache Tomcat 11.0.0-M1 至 11.0.5
  • Apache Tomcat 10.1.0-M1 至 10.1.39
  • Apache Tomcat 9.0.0.M1 至 9.0.102

修复版本

  • Apache Tomcat 11.0.6 或更高版本
  • Apache Tomcat 10.1.40 或更高版本
  • Apache Tomcat 9.0.104 或更高版本

重要说明

  • 修复最初包含在Apache Tomcat 9.0.103中
  • 但9.0.103候选版本的发布投票未通过
  • 用户必须直接升级到9.0.104或更高版本

升级建议

  1. 立即检查当前Tomcat版本

    $CATALINA_HOME/bin/version.sh

  2. 根据受影响版本选择升级路径

    • 如果使用11.x系列:升级至11.0.6+
    • 如果使用10.x系列:升级至10.1.40+
    • 如果使用9.x系列:升级至9.0.104+

  3. 特别注意

    • 不要使用9.0.103版本,即使找到该版本
    • 必须升级到9.0.104或更高版本

  4. 升级步骤

    • 备份当前配置($CATALINA_HOME/conf目录)
    • 下载并安装新版本
    • 恢复配置文件
    • 测试应用程序兼容性
    • 部署到生产环境

临时缓解措施(如果无法立即升级)

对于CVE-2025-31650

  • 考虑在网络边界过滤包含HTTP优先级标头的请求
  • 监控内存使用情况,设置自动重启阈值

对于CVE-2025-31651

  • 审查重写规则配置
  • 确保不依赖重写规则作为唯一的安全控制措施
  • 实施额外的安全层(如应用层防火墙)

参考资源

  • 官方Apache Tomcat安全公告
  • Apache Tomcat下载页面:https://tomcat.apache.org/download-[version].cgi
  • 漏洞数据库条目:CVE-2025-31650, CVE-2025-31651
Apache Tomcat 安全漏洞修复指南:CVE-2025-31650 和 CVE-2025-31651 漏洞概述 Apache 软件基金会于2025年4月29日发布了针对Apache Tomcat的重要安全更新,修复了两个关键漏洞: CVE-2025-31650 - 高危漏洞:无效HTTP优先级标头导致的拒绝服务 CVE-2025-31651 - 低危漏洞:重写规则绕过漏洞 CVE-2025-31650:无效HTTP优先级标头导致的拒绝服务 漏洞详情 严重等级 :高危 影响 :处理无效HTTP优先级标头时的错误处理不当 具体表现 : 某些无效HTTP优先级标头的错误处理导致失败请求的清理不完整 造成内存泄漏 大量畸形请求可能触发 OutOfMemoryException 最终导致拒绝服务(DoS) 受影响版本 Apache Tomcat 11.0.0-M2 至 11.0.5 Apache Tomcat 10.1.10 至 10.1.39 Apache Tomcat 9.0.76 至 9.0.102 修复版本 Apache Tomcat 11.0.6 或更高版本 Apache Tomcat 10.1.40 或更高版本 Apache Tomcat 9.0.104 或更高版本 重要说明 : 修复最初包含在Apache Tomcat 9.0.103中 但9.0.103候选版本的发布投票未通过 用户必须直接升级到9.0.104或更高版本才能获得官方修复 CVE-2025-31651:重写规则绕过漏洞 漏洞详情 严重等级 :低危 影响 :特定配置下的重写规则可能被绕过 具体表现 : 影响部分不太可能的重写规则设置 精心构造的请求可能绕过某些重写规则 如果这些重写规则对强制执行安全约束至关重要,可能允许攻击者绕过保护措施 受影响版本 Apache Tomcat 11.0.0-M1 至 11.0.5 Apache Tomcat 10.1.0-M1 至 10.1.39 Apache Tomcat 9.0.0.M1 至 9.0.102 修复版本 Apache Tomcat 11.0.6 或更高版本 Apache Tomcat 10.1.40 或更高版本 Apache Tomcat 9.0.104 或更高版本 重要说明 : 修复最初包含在Apache Tomcat 9.0.103中 但9.0.103候选版本的发布投票未通过 用户必须直接升级到9.0.104或更高版本 升级建议 立即检查当前Tomcat版本 : 根据受影响版本选择升级路径 : 如果使用11.x系列:升级至11.0.6+ 如果使用10.x系列:升级至10.1.40+ 如果使用9.x系列:升级至9.0.104+ 特别注意 : 不要使用9.0.103版本,即使找到该版本 必须升级到9.0.104或更高版本 升级步骤 : 备份当前配置( $CATALINA_HOME/conf 目录) 下载并安装新版本 恢复配置文件 测试应用程序兼容性 部署到生产环境 临时缓解措施(如果无法立即升级) 对于 CVE-2025-31650 : 考虑在网络边界过滤包含HTTP优先级标头的请求 监控内存使用情况,设置自动重启阈值 对于 CVE-2025-31651 : 审查重写规则配置 确保不依赖重写规则作为唯一的安全控制措施 实施额外的安全层(如应用层防火墙) 参考资源 官方Apache Tomcat安全公告 Apache Tomcat下载页面:https://tomcat.apache.org/download-[ version ].cgi 漏洞数据库条目:CVE-2025-31650, CVE-2025-31651