漏洞描述

Tomcat 服務器是一個免費的開放源代碼的Web 應用服務器，屬于輕量級應用服務器，在中小型系統和并發訪問用戶不是很多的場合下被普遍使用，是開發和調試JSP 程序的首選。 Apache Tomcat 使用 Apache Commons FileUpload 的打包重命名副本來提供 Jakarta Servlet 規范中定義的文件上傳功能。因此Apache Tomcat 也容易受到 Apache Commons FileUpload 漏洞CVE-2023-24998的影響，因為對處理的請求部分的數量沒有限制。這導致攻擊者有可能通過惡意上傳或一系列上傳觸發 DoS。

基本信息

· CVE編號：CVE-2023-24998

· 漏洞類型：拒絕服務攻擊

· 危險等級：高危

·受影響應用版本：Tomcat 11.0.0-M1、10.1.0-M1 - 10.1.4、9.0.0-M1 - 9.0.70、8.5.0 - 8.5.84

· 檢測方式：版本對比

· 是否加入全局：是

· 公布時間： 2023-01-13

· 風險特征：遠程利用

· CVSS評分： 8

· CVSS詳情：

修復建議

將Tomcat 升級到 11.0.0-M3、10.1.5、9.0.71、8.5.85 及以上版本，下載地址：//archive.apache.org/dist/tomcat