漏洞编号：CVE-2022-29885

一、漏洞概述

2022年7月2日，安全团队监测到一则Apache Tomcat拒绝服务漏洞的信息。该漏洞是由于Tomcat开启集群配置中存在缺陷，攻击者可利用该漏洞在未权限的情况下，构造恶意数据造成拒绝服务，最终导致目标服务器拒绝服务。

二、漏洞影响范围

漏洞影响的产品版本包括：

目前受影响的Apache Tomcat版本：

未配置EncryptInterceptor则全版本受影响

配置EncryptInterceptor如下版本受影响：

10.1.0-M1≤Apache Tomcat≤10.1.0-M14

10.0.0-M1≤Apache Tomcat≤10.0.20

9.0.13≤Apache Tomcat≤9.0.62

8.5.38≤Apache Tomcat≤8.5.78

官方解决方案：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://tomcat.apache.org/security-10.html

https://tomcat.apache.org/security-9.html

https://tomcat.apache.org/security-8.html

修复建议参考《Apache Tomcat拒绝服务漏洞CVE-2022-29885响应通告》