Apache Tomcat拒绝服务漏洞 (CVE-2022-29885) 安全风险通告

漏洞名称

Apache Tomcat拒绝服务漏洞(CVE-2022-29885)

公开时间

2022-05-12

更新时间

2022-07-01

CVE编号

CVE-2022-29885

其他编号

QVD-2022-6987

威胁类型

拒绝服务

技术类型

不受控的资源消耗

厂商

Apache

产品

Tomcat

风险等级

奇安信CERT风险评级

风险等级

中危

蓝色（一般事件）

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已发现

未发现

未发现

已公开

漏洞描述

Apache Tomcat 存在拒绝服务漏洞，当Tomcat开启集群配置，且通过NioReceiver通信时，无论服务端是否配置EncryptInterceptor，攻击者均可构造特制请求导致目标服务器拒绝服务。

影响版本

1. 在服务端Tomcat集群配置中若没有配置EncryptInterceptor，Apache Tomcat全版本均受影响；

2. 在服务端Tomcat集群配置中若配置EncryptInterceptor，Apache Tomcat受影响版本如下：

10.1.0-M1 <= Apache Tomcat <= 10.1.0-M14

10.0.0-M1 <= Apache Tomcat <= 10.0.20

9.0.13 <= Apache Tomcat <= 9.0.62

8.5.38 <= Apache Tomcat <= 8.5.78

不受影响版本

在服务端中配置EncryptInterceptor时:

Apache Tomcat 10.x >= 10.1.0-M15

Apache Tomcat 10.x >= 10.0.21

Apache Tomcat 9.x >= 9.0.63

Apache Tomcat 8.x >= 8.5.79

Apache Tomcat 10.x < 10.1.0-M1

Apache Tomcat 10.x < 10.0.0-M1

Apache Tomcat 9.x < 9.0.13

Apache Tomcat 8.x < 8.5.38

(更低版本在此场景下同样不受影响)

目前，奇安信CERT已成功复现Apache Tomcat拒绝服务漏洞(CVE-2022-29885)，截图如下：

威胁评估

漏洞名称

Apache Tomcat拒绝服务漏洞(CVE-2022-29885)

CVE编号

CVE-2022-29885

其他编号

QVD-2022-6987

CVSS 3.1评级

高危

CVSS 3.1分数

7.5

CVSS向量

访问途径（AV）

攻击复杂度（AC）

网络

低

所需权限（PR）

用户交互（UI）

不需要

不需要

影响范围（S）

机密性影响（C）

不变

无

完整性影响（I）

可用性影响（A）

无

高

危害描述

当Tomcat开启集群配置，且通过NioReceiver通信时，无论服务端是否配置EncryptInterceptor，攻击者均可构造特制请求导致目标服务器拒绝服务。

处置建议

1、安全升级

当Tomcat开启集群配置时：

• 服务端若没有配置EncryptInterceptor，Apache Tomcat全版本均受影响，建议用户尽快采取缓解措施；

• 服务端若配置EncryptInterceptor，Apache Tomcat官方已发布可更新版本，建议用户升级至：

Apache Tomcat 10.1.0-M15；

Apache Tomcat 10.0.21；

Apache Tomcat 9.0.63；

Apache Tomcat 8.5.79

2、缓解措施

针对目标集群服务的通信配置EncryptInterceptor并进行安全访问控制。

更多详情请参见：

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

参考资料

[1]https://lists.apache.org/thread/2b4qmhbcyqvc7dyfpjyx54c03x65vhcv

声明：本文来自奇安信 CERT，版权归作者所有。