检测到存在待处理的应用漏洞:Apache Tomcat 输入验证错误漏洞(CVE-2024-24549),
修复方案
一、建议受影响用户升级至以下版本:
(1) Netty >= 4.1.100.Final:
参考链接:https://github.com/netty/netty/releases/tag/netty-4.1.100.Final
(2) Go >= 1.21.3、1.20.10:
参考链接:https://github.com/golang/go/tags
(3) Apache Tomcat >= 11.0.0-M12、10.1.14、9.0.81、8.5.94:
参考链接:https://tomcat.apache.org/security-11.html#Fixed_in_Apache_Tomcat_11.0.0-M12
参考链接:https://tomcat.apache.org/security-10.html#Fixed_in_Apache_Tomcat_10.1.14
参考链接:https://tomcat.apache.org/security-9.html#Fixed_in_Apache_Tomcat_9.0.81
参考链接:https://tomcat.apache.org/security-8.html#Fixed_in_Apache_Tomcat_8.5.94
(4) grpc-go >= 1.58.3、1.57.1、1.56.3:
参考链接:https://github.com/grpc/grpc-go/releases
(5) jetty >= 12.0.2、10.0.17、11.0.17、9.4.53.v20231009:
参考链接:https://github.com/eclipse/jetty.project/releases
(6) nghttp2 >= v1.57.0:
参考链接:https://github.com/nghttp2/nghttp2/releases
(7) Apache Traffic Server >= 8.1.9、9.2.3:
参考链接:https://github.com/apache/trafficserver/tags
二、缓解方案
(1) 启用waf或ddos防御相关安全系统(此类系统一般会有速率限制,可间接缓解该漏洞);
(2) 避免将应用完全暴露至公网;
(3) 在Web服务上禁用HTTP2协议
扫描到服务器存在漏洞风险,建议立即对相关主机进行快照备份,避免遭受损失。
发现Tomcat用的是到9.0. 75 ,升级Apache Tomcat到9.0.81
找到
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-dependencies</artifactId>
<version>2.5.15</version>
<type>pom</type>
<scope>import</scope>
</dependency>
Ctrl+右键 spring-boot-dependencies 点击红色框选,修改 <tomcat.version>9.0.81</tomcat.version>
mvn 重新cliean package
