Tomcat 又爆出高危漏洞!Tomcat 8.5~10 中招…

Tomcat 又爆出高危漏洞!Tomcat 8.5~10 中招…

Tomcat 又爆出高危漏洞!Tomcat 8.5~10 中招…

作者 | 栈长

来源 | Java技术栈

开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。

不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。

光这半年以来,栈长知道的,就有 Dubbo、FastJSON、Tomcat。

2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞:

http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3e
Tomcat 又爆出高危漏洞!Tomcat 8.5~10 中招…

这是一封来自 Apache 官方安全团队的邮件,已通过 Apache Tomcat 用户邮件公开报告了此问题,邮件中介绍了 HTTP/2 拒绝服务漏洞的各方面细节及解决方案。

漏洞名称:Apache Tomcat HTTP/2 拒绝服务漏洞

漏洞编号:CVE-2020-11996

严重程度: 重要

软件提供商: Apache 软件基金

受影响的版本:

  • Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5

  • Apache Tomcat 9.0.0.M1 ~ 9.0.35

  • Apache Tomcat 8.5.0 ~ 8.5.55

漏洞描述:

一个特别制作的 HTTP/2 请求序列,在短短数秒内能导致 CPU 满负载率,如果有足够数量多的此类请求连接(HTTP/2)并发打在服务器上,服务器可能会失去响应。

解决方案:

  • 升级到 Apache Tomcat 10.0.0-M6+

  • 升级到 Apache Tomcat 9.0.36+

  • 升级到 Apache Tomcat 8.5.56+

升级到对应的版本即可,另外,从官方揭示的信息来看,Tomcat 8.5 以下版本不受影响,是因为 Tomcat 8.5+才开始有了对 HTTP/2 的支持吧。

参考:

[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html

HTTP/2 拒绝服务漏洞还算好,因为 Tomcat 中默认使用 HTTP/1.1 协议,如果你们没有用 HTTP/2 那就没问题,如果开启了就要注意升级了。

Tomcat 又爆出高危漏洞!Tomcat 8.5~10 中招…

更多精彩推荐

更多精彩推荐

肝了三天,万字长文教你玩转 tcpdump,从此抓包不用愁

☞比 Hive 快 500 倍!大数据实时分析领域的黑马

原文 

http://mp.weixin.qq.com/s?__biz=MjM5MjAwODM4MA==&mid=2650758784&idx=4&sn=644ebe93a89706bef0f33de3f1e4a177

本站部分文章源于互联网,本着传播知识、有益学习和研究的目的进行的转载,为网友免费提供。如有著作权人或出版方提出异议,本站将立即删除。如果您对文章转载有任何疑问请告之我们,以便我们及时纠正。

PS:推荐一个微信公众号: askHarries 或者qq群:474807195,里面会分享一些资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化这些成为架构师必备的知识体系。还能领取免费的学习资源,目前受益良多

转载请注明原文出处:Harries Blog™ » Tomcat 又爆出高危漏洞!Tomcat 8.5~10 中招…

赞 (0)
分享到:更多 ()

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址