服务热线: 0371-65995777
   
 
关于Apache Tomcat HTTP/2 DoS(CVE-2019-0199)漏洞的安全预警
文章来源 :大数据通信      发布时间 :2019/4/3 9:46:19
 

一、概要

近日, Apache官方发布了一则关于Tomcat HTTP/2的安全公告,当中披露一个重要级别的DOS漏洞(CVE-2019-0199)。在支持HTTP/2的Tomcat 版本(8.5.0 到 8.5.37、9.0.0.M1 到 9.0.14 )中,由于应用服务允许接收大量的配置流量,并且客户端在没有读写请求的情况下可以长时间保持连接而导致。如果来自客户端的连接请求过多,最终可导致服务端线程耗尽,攻击者成功利用此漏洞可实现对目标的拒绝服务攻击。

大数据通信提醒各位租户及时安排自检并做好安全加固。

利用漏洞:CVE-2019-0199

参考链接:

https://www.mail-archive.com/announce@apache.org/msg05156.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急。)

三、影响范围

Apache Tomcat 8.5.0 to 8.5.37

Apache Tomcat 9.0.0.M1 to 9.0.14

四、修复方案

官方已在新版本Apache Tomcat 8.5.38、9.0.16中修复了该漏洞,请受影响的租户尽快升级

Apache Tomcat 8.5.38 下载链接:https://tomcat.apache.org/download-80.cgi

Apache Tomcat 9.0.16 下载链接:https://tomcat.apache.org/download-90.cgi

注意:修复漏洞前请将资料,并进行充分测试。