Apache Tomcat HTTP/2 DoS 漏洞,影响多个版本

来源: OSCHINA
编辑: oschina
2020-06-26

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞

HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。

该漏洞严重等级定为“重大”(Important),编号 CVE-2020-11996。

受影响的软件版本包括:

  • Apache Tomcat 10.0.0-M1 到 10.0.0-M5
  • Apache Tomcat 9.0.0.M1 到 9.0.35
  • Apache Tomcat 8.5.0 到 8.5.55

官方给出的缓解方法:

  • 升级到 Apache Tomcat 10.0.0-M6 或更高版本
  • 升级到 Apache Tomcat 9.0.36 或更高版本
  • 升级到 Apache Tomcat 8.5.56 或更高版本

具体细节可以查看:

  • http://tomcat.apache.org/security-10.html
  • http://tomcat.apache.org/security-9.html
  • http://tomcat.apache.org/security-8.html
展开阅读全文
10 收藏
分享
加载中
精彩评论
我感觉是因为不够流行的原因……🤣
2020-06-26 13:14
4
举报
还好我用的是tomcat7.0.104
2020-06-27 07:55
2
举报
SpringBoot项目,一直用Undertow,感觉没出过啥毛病。
2020-06-26 09:55
1
举报
最新评论 (10)
Undertow吧 我觉得很稳,线上跑得很欢乐。
2020-06-28 16:10
0
回复
举报
官方只给了缓解办法!有解决办法么?
2020-06-28 13:00
0
回复
举报
您好,请问漏洞测试代码在哪可以找到?
2020-06-27 18:06
0
回复
举报
只有自己分析布丁了,这种杀伤力强的exp一般不会放出来的。
2020-06-27 21:53
0
回复
举报
还好我用的是tomcat7.0.104
2020-06-27 07:55
2
回复
举报
SpringBoot项目,一直用Undertow,感觉没出过啥毛病。
2020-06-26 09:55
1
回复
举报
+1
2020-06-26 13:12
0
回复
举报
我感觉是因为不够流行的原因……🤣
2020-06-26 13:14
4
回复
举报
Jetty很舒服欸
2020-06-27 22:55
0
回复
举报
netty也很香
2020-06-29 17:46
0
回复
举报
更多评论
11 评论
10 收藏
分享
返回顶部
顶部