Cảnh báo lỗ hổng từ chối dịch vụ (DoS) phát hiện trong Apache Tomcat (CVE-2024-38286)

Lỗ hổng xuất phát từ cách Apache Tomcat xử lý quy trình bắt tay TLS (TLS handshake) trong một số cấu hình nhất định. Kẻ tấn công có thể lợi dụng lỗ hổng này để gây ra lỗi OutOfMemoryError, dẫn đến việc máy chủ bị sập và ngừng cung cấp dịch vụ.

Thành công trong việc khai thác lỗ hổng này có thể gây ra các hệ quả nghiêm trọng như:

  • Ngừng dịch vụ: Các ứng dụng và dịch vụ quan trọng chạy trên Tomcat có thể trở nên không khả dụng.
  • Cạn kiệt tài nguyên: Máy chủ có thể trở nên không phản hồi do hết tài nguyên bộ nhớ.
  • Thời gian dừng hoạt động: Các tổ chức có thể đối mặt với thời gian dừng hoạt động đáng kể, ảnh hưởng đến hoạt động kinh doanh và khả năng truy cập của người dùng.

Phiên bản ảnh hưởng

Apache Tomcat 11.0.0-M1 đến 11.0.0-M20

Apache Tomcat 10.1.0-M1 đến 10.1.24

Apache Tomcat 9.0.13 đến 9.0.89

Khuyến nghị

Người dùng các phiên bản bị ảnh hưởng nhanh chóng thực hiện việc cập nhật lên các phiên bản bảo mật mới nhất:

Đối với Apache Tomcat 11: Cập nhật lên phiên bản 11.0.0-M21 hoặc cao hơn.

Đối với Apache Tomcat 10.1: Cập nhật lên phiên bản 10.1.25 hoặc cao hơn.

Đối với Apache Tomcat 9.0: Cập nhật lên phiên bản 9.0.90 hoặc cao hơn.

Người dùng cần nhanh chóng kiểm tra và vá lỗ hổng này để đảm bảo an toàn cho hệ thống của mình.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: