服务热线: 0371-65995777

【安全预警】Apache Tomcat HTTP/2拒绝服务漏洞(CVE-2020-11996)

文章来源 : 大数据IDC      发布时间 : 2020/6/29

一、概要

近日大数据IDC技术监测到Apache Tomcat官方发布安全公告,披露特定Tomcat版本存在HTTP/2拒绝服务漏洞,特殊构造的HTTP/2 请求在可几秒钟内触发较高的CPU使用率,如果构造足够数量的特殊并发请求,可能导致服务器无响应。

大数据IDC提醒使用Apache Tomcat的用户及时安排自检并做好安全加固。

详情请参考链接:

http://tomcat.apache.org/security-10.html

http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-8.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

如果使用了HTTP/2协议,并且tomcat版本在以下版本范围内,则受该漏洞影响:

Apache Tomcat 10.0.0-M1 to 10.0.0-M5

Apache Tomcat 9.0.0.M1 to 9.0.35

Apache Tomcat 8.5.0 to 8.5.55

安全版本:

Apache Tomcat 10.0.0-M6或者更高版本

Apache Tomcat 9.0.36或者更高版本

Apache Tomcat 8.5.56或者更高版本

四、漏洞处置

目前,官方已在新版本中修复了该漏洞,请受影响的用户升级到安全版本:

下载地址:

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi

注:修复漏洞前请将资料备份,并进行充分测试。

上一条:【安全预警】Apache Spark 远程代码执行漏洞(CVE-2020-9480) 下一条:【安全预警】Apache Dubbo反序列化漏洞CVE-2020-1948补丁被绕过