HAPI FHIR项目中Apache Tomcat安全问题研究与应对

问题背景

在HAPI FHIR项目的Spring Boot模块中，发现了一个涉及Apache Tomcat组件的严重安全问题(CVE-2025-31651)。该问题存在于tomcat-embed-core-10.1.31.jar组件中，影响范围包括HAPI FHIR项目的多个Spring Boot示例模块。

技术细节研究

该问题属于"转义、元或控制序列的不当中和"类型，主要影响Tomcat的URL重写功能。在特定的重写规则配置下，可能被构造特殊请求绕过部分重写规则。如果这些规则用于实施安全约束，那么这些安全约束可能会受到影响。

问题影响范围包括：

• Tomcat 11.0.0-M1至11.0.5版本
• Tomcat 10.1.0-M1至10.1.39版本
• Tomcat 9.0.0.M1至9.0.102版本

风险等级评估

根据CVSS v3评分标准，该问题被评为9.8分(高危)，具体风险特征如下：

1. 攻击向量：通过网络远程利用
2. 攻击复杂度：低，无需特殊条件即可利用
3. 权限要求：无需任何权限
4. 用户交互：无需用户交互
5. 影响范围：可能导致高机密性、高完整性和高可用性影响

影响组件路径

在HAPI FHIR项目中，受影响的组件路径包括：

• hapi-fhir-spring-boot-sample-client-okhttp模块
• hapi-fhir-spring-boot-sample-server-jersey模块
• hapi-fhir-spring-boot-sample-client-apache模块

这些模块通过Spring Boot Starter Web间接依赖了存在问题的Tomcat组件。

解决方案

Apache软件基金会已发布修复版本：

• Tomcat 11.0.6
• Tomcat 10.1.40
• Tomcat 9.0.104

对于HAPI FHIR项目，建议升级Spring Boot Starter Web依赖，使其间接引入修复后的Tomcat版本。具体来说，应确保tomcat-embed-core组件升级至11.0.6或更高版本。

安全建议

1. 立即行动：所有使用受影响版本的用户应尽快升级到安全版本
2. 配置检查：检查项目中是否存在自定义的URL重写规则，特别是用于安全约束的规则
3. 依赖管理：定期检查项目依赖关系，确保所有组件都是最新安全版本
4. 监控日志：在升级前，应监控应用日志中是否存在可疑的重写规则绕过尝试

总结

这个Tomcat问题虽然需要特定配置才会被利用，但由于其高危性质，所有使用HAPI FHIR框架的开发团队都应高度重视。通过及时升级依赖版本，可以有效消除潜在的安全风险，确保FHIR服务的稳定性和安全性。