网络安全

预警通报

网络安全预警通报 第三十三期(2022.7.6)
时间:2022-07-06   

网络安全预警通报

2022年第5 (总第33期)

西安交通大学网络信息中心 202276

_____________________________________________

【预警类型】中危预警

预警内容

Apache Tomcat拒绝服务漏洞 CVE-2022-29885

漏洞编号:CVE-2022-29885

一、漏洞概述

202272日,安全团队监测到一则Apache Tomcat 拒绝服务漏洞的信息。该漏洞是由于Tomcat开启集群配置中存在缺陷,攻击者可利用该漏洞在未权限的情况下,构造恶意数据造成拒绝服务,最终导致目标服务器拒绝服务。


二、漏洞影响范围

漏洞影响的产品版本包括:

目前受影响的Apache Tomcat版本:

未配置EncryptInterceptor则全版本受影响

配置EncryptInterceptor如下版本受影响:

10.1.0-M1 Apache Tomcat 10.1.0-M14

10.0.0-M1 Apache Tomcat 10.0.20

9.0.13 Apache Tomcat 9.0.62

8.5.38 Apache Tomcat 8.5.78

官方解决方案:

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html


修复建议参考《Apache Tomcat拒绝服务漏洞 CVE-2022-29885响应通告》


版权所有:西安交通大学 站点建设与维护: 网络信息中心 服务电话:82667777(兴庆)、88961111(创新港)

地址:陕西省西安市咸宁西路28号西安交通大学 主楼1703  邮编:710049