關鍵詞

安全漏洞

Apache 軟件基金會披露了 Apache Tomcat 中的一個重大安全漏洞，該漏洞可能允許攻擊者繞過安全規則并通過操縱 HTTP 優先級標頭 觸發拒絕服務條件。

該高危漏洞編號為 CVE-2025-31650，影響多個 Tomcat 版本，對依賴此流行 Java 應用服務器的組織構成重大安全風險。

Apache Tomcat 拒絕服務漏洞

該漏洞源于 Apache Tomcat 在處理 HTTP 優先級標頭時輸入驗證不當。

根據安全公告，“對某些無效 HTTP 優先級標頭的錯誤處理不正確，導致失敗的請求清理不完整，從而造成內存泄漏”。

當攻擊者發送大量包含無效 HTTP 優先級標頭的格式錯誤的請求時，他們可能會觸發 OutOfMemoryException，從而導致拒絕服務，使應用程序不可用。

HTTP 優先級標頭是 Web 通信的合法組件，它指示客戶端對響應傳遞優先級順序的偏好。

然而，這個新的漏洞表明 Tomcat 對這些標頭的處理存在一個缺陷，無法正確驗證和清理輸入。

風險因素細節受影響的產品

Apache Tomcat 9.0.76–9.0.102Apache Tomcat 10.1.10–10.1.39Apache Tomcat 11.0.0-M2–11.0.5

影響

拒絕服務（DoS）

漏洞利用前提條件 攻擊者必須發送大量帶有無效 HTTP 優先級標頭的 HTTP 請求；無需身份驗證 CVSS 3.1 評分 高

受影響的版本

該漏洞影響以下 Apache Tomcat 版本：

• Apache Tomcat 11.0.0-M2 至 11.0.5

• Apache Tomcat 10.1.10 至 10.1.39

• Apache Tomcat 9.0.76 至 9.0.102

這些版本的用戶應立即考慮升級到修補版本。

該漏洞利用了 Tomcat 處理內存資源的方式。當服務器收到無效的 HTTP Priority 標頭時，它無法正確清理資源，從而造成內存泄漏。

正如報告中所指出的，“大量此類請求可能會觸發 OutOfMemoryException，從而導致拒絕服務”。

這讓人想起了之前的 Java 應用程序內存問題。正如一位系統管理員在之前的事件中指出的那樣，“Tomcat 無法釋放未使用的內存。它只會不斷添加內存，最終達到其最大分配內存量”。

減輕

Apache 軟件基金會建議采取以下緩解措施：

• 升級到 Apache Tomcat 11.0.6 或更高版本

• 升級到 Apache Tomcat 10.1.40 或更高版本

• 升級到 Apache Tomcat 9.0.104 或更高版本

盡管 9.0.103 版本已修復此問題，但“9.0.103 候選版本的發布投票未通過”，因此盡管包含修復程序，但此版本并不包含在受影響的版本中。

這是近幾個月來第二個重大Apache Tomcat 漏洞。2025 年 3 月，CVE-2025-24813 被披露，這是一個 CVSS 評分為 9.8 的嚴重遠程代碼執行漏洞，攻擊者可以利用該漏洞控制易受攻擊的服務器。

鑒于此漏洞的嚴重性及其完全禁用 Web 應用程序的可能性，強烈建議立即采取行動。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！