近日，我司监测到Apache发布安全公告，修复了一个存在于Apache Tomcat中的拒绝服务漏洞。该漏洞是由于 Tomcat 开启集群配置中存在缺陷，攻击者可利用该漏洞在未授权的情况下，构造恶意数据造成拒绝服务，最终导致目标服务器拒绝服务。

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成的一款轻量级Web应用服务器。

影响版本:

• 10.1.0-M1 <= Apache Tomcat <= 10.1.0-M14
• 10.0.0-M1 <= Apache Tomcat <= 10.0.20
• 9.0.13 <= Apache Tomcat <= 9.0.62
• 8.5.38 <= Apache Tomcat <= 8.5.78

安全版本:

• Apache Tomcat 10.1.x >= 10.1.0-M15
• Apache Tomcat 10.0.x >= 10.0.21
• Apache Tomcat 9.x >= 9.0.63
• Apache Tomcat 8.x >= 8.5.79
• Apache Tomcat 10.1.x < 10.1.0-M1
• Apache Tomcat 10.0.x < 10.0.0-M1
• Apache Tomcat 9.x < 9.0.13
• Apache Tomcat 8.x < 8.5.38

修复建议：

官方已发布安全版本，请及时下载更新，下载地址：

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi