【安全资讯】CVE-2024-38286：Apache Tomcat 中发现的拒绝服务漏洞

概要：

Apache软件基金会发布了一个关于Apache Tomcat新发现漏洞的安全公告，该漏洞可能允许攻击者执行拒绝服务（DoS）攻击。该漏洞被标识为CVE-2024-38286，重要性被评为重要，影响多个版本的Apache Tomcat。

主要内容：

该漏洞源自Tomcat在某些配置下处理TLS握手过程的方式。攻击者可以利用这一缺陷引发OutOfMemoryError，导致服务器崩溃，从而中断依赖该服务的任何应用程序和服务。

成功利用这一漏洞可能会导致以下后果：

服务中断：在Tomcat上运行的重要应用程序和服务可能变得不可用。

资源消耗：由于内存资源耗尽，服务器可能变得无响应。

运营停机：组织可能面临重大停机，影响业务运营和用户访问。

受影响的Apache Tomcat版本包括：

Apache Tomcat 11.0.0-M1至11.0.0-M20

Apache Tomcat 10.1.0-M1至10.1.24

Apache Tomcat 9.0.13至9.0.89

Apache软件基金会强烈建议所有受影响版本的用户立即采取行动，升级到最新的安全版本：

对于Apache Tomcat 11：升级到11.0.0-M21或更高版本。

对于Apache Tomcat 10.1：升级到10.1.25或更高版本。

对于Apache Tomcat 9.0：升级到9.0.90或更高版本。