关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

【安全预警】Apache Tomcat HTTP/2拒绝服务漏洞(CVE-2020-11996)

发布时间:2020-06-29 14:04:12

一、概要

近日昊之云技术监测到Apache Tomcat官方发布安全公告,披露特定Tomcat版本存在HTTP/2拒绝服务漏洞,特殊构造的HTTP/2 请求在可几秒钟内触发较高的CPU使用率,如果构造足够数量的特殊并发请求,可能导致服务器无响应。

昊之云提醒使用Apache Tomcat的用户及时安排自检并做好安全加固。

详情请参考链接:

http://tomcat.apache.org/security-10.html

http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-8.html

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

如果使用了HTTP/2协议,并且tomcat版本在以下版本范围内,则受该漏洞影响:

Apache Tomcat 10.0.0-M1 to 10.0.0-M5

Apache Tomcat 9.0.0.M1 to 9.0.35

Apache Tomcat 8.5.0 to 8.5.55

安全版本:

Apache Tomcat 10.0.0-M6或者更高版本

Apache Tomcat 9.0.36或者更高版本

Apache Tomcat 8.5.56或者更高版本

四、漏洞处置

目前,官方已在新版本中修复了该漏洞,请受影响的用户升级到安全版本:

下载地址:

https://tomcat.apache.org/download-10.cgi

https://tomcat.apache.org/download-90.cgi

https://tomcat.apache.org/download-80.cgi

注:修复漏洞前请将资料备份,并进行充分测试。


/template/Home/Zkeys/PC/Static