Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响

最新推荐文章于 2024-09-17 06:12:15 发布
最新推荐文章于 2024-09-17 06:12:15 发布
阅读量889 收藏
点赞数
分类专栏: 程序员 文章标签: Java 架构 程序人生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sqdmn/article/details/107249405
版权
Apache Tomcat爆出HTTP/2拒绝服务漏洞(CVE-2020-11996),影响多个Spring Cloud和Spring Boot版本。受影响的包括Spring Cloud Edgware/Finchley/Greenwich/Hoxton与Spring Boot 1.5.x/2.0.x/2.1.x/2.2.x/2.3.x。建议升级到不受影响的版本以修复问题。
摘要由CSDN通过智能技术生成

01 事件背景

6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示:

漏洞详情链接:

http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3E

Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响

 

翻译

  • 漏洞名称:Apache Tomcat HTTP/2 拒绝服务漏洞
  • 漏洞编号:CVE-2020-11996
  • 严重程度: 重要
  • 软件提供商: Apache 软件基金会
  • 受影响的版本:

Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5

Apache Tomcat 9.0.0.M1 ~ 9.0.35

Apache Tomcat 8.5.0 ~ 8.5.55

  • 漏洞描述:一个特别制作的 HTTP/2 请求序列,在短短数秒内能导致 CPU 满负载率,如果有足够数量多的此类请求连接(HTTP/2)并发放在服务器上,服务器可能会失去响应。

如果条件允许,可以通过升级到Tomcat新版本来解决漏洞。下面为受影响版本对应的安全版本:

  • Apache Tomcat 10.0.0-M6+
  • Apache Tomcat 9.0.36+
  • Apache Tomcat 8.5.56+

02 Spring Cloud / Boot 框架影响

Apache Tomcat HTTP/2 拒绝服务漏洞也给Spring Cloud / Boot 框架带来了一定的影响。下面是所有受影响的版本列表,大家可以查看并对照下自己的代码,看看是否受到影响。

Spring Cloud Edgware / Spring Boot 1.5.x

Spring Cloud [Edgware.RELEASE - Edgware.SR6] 版本受到影响。

Spring Boot [1.5.0.RELEASE - 1.5.22.RELEASE] 版本受到影响。

Spring Cloud Finchley / Spring Boot 2.0.x

Spring Cloud [Finchley.RELEASE - Finchley.SR4] 版本受到影响。

Spring Boot [2.0.0.RELEASE - 2.0.9.RELEASE] 版本受到影响。

Spring Cloud Greenwich / Spring Boot 2.1.x

<
最低0.47元/天 解锁文章
搬砖不忘敲码人
关注
专栏目录
spring框架漏洞整理(Springboot漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 4256
2016年爆出的一个漏洞Springboot漏洞利用条件 至少知道一个触发 springboot 默认错误页面的接口及参数名 利用方法 Springboot漏洞步骤一:找到一个正常传参处 比如发现访问/article?id=xxx,页面会报状态码为 500 的错误:Whitelabel Error Page,则后续 payload 都将会在参数 id 处尝试。 Springboot漏洞步骤二:执行 SpEL 表达式
spring框架漏洞整理(Spring Data漏洞)
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-01 753
Spring Data漏洞Spring Data是一个用于简化数据库访问,并支持云服务的开源框架Spring Data Commons 是 Spring Data 下所有子项目共享的基础框架。 (CVE-2017-8046)Spring Data Rest 远程命令执行漏洞 影响范围PivotalSpringDataREST2.5.12 之前的版本,2.6.7 之前的版本,3.0RC3 之前的版本 SpringBoot2.0.0M4 之前版本SpringDataKay-RC3 之前的版本 特征head
【网络安全】Spring框架漏洞总结(一)
kali_Ma的博客
09-10 2680
Spring简介 SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expr
Tomcat漏洞详解
apple_74953689的博客
09-07 1293
Tomcat是一个开源的Servlet容器,由Apache软件基金会开发,用于托管。它实现了Java Servlet和JavaServer Pages(JSP)技术,并提供了一些特有的Web服务器功能,如管理和控制平台、安全域管理和阀等。
Spring框架漏洞
weixin_68408599的博客
12-11 1546
以下框架漏洞均为Spring框架,讲解方式为漏洞产生原因以及漏洞复现,重点是漏洞复现的具体过程。
技术干货 | 针对Spring-Boot 框架漏洞的初探
2301_80127209的博客
07-29 2929
这篇文章主要是给师傅们介绍下Spring-Boot 框架漏洞的打法以及主要对于Spring-Boot漏洞的接口泄露信息进行一个分析,后面使用了曾哥的Spring-Boot漏洞扫描工具,可以很大减轻我们对于这个漏洞接口的分析。
浅析SpringBoot框架常见未授权访问漏洞
道阻且长,行则将至。
02-23 1万+
本文总结学习了 Swagger-UI、SpringBoot Actuator、Druid、Webpack 组件的未授权访问漏洞基本原理与漏洞探测方法,在介绍了几款自动化扫描工具的同时,也简要分析了 CVE-2022-22947 Spring Cloud Gateway RCE 漏洞
Spring Cloud 从入门到精通
热门推荐
GitChat
07-03 79万+
Spring Cloud 是一套完整的微服务解决方案,基于 Spring Boot 框架,准确的说,它不是一个框架,而是一个大的容器,它将市面上较好的微服务框架集成进来,从而简化了开发者的代码量。 本课程由浅入深带领大家一步步攻克 Spring Cloud 各大模块,接着通过一个实例带领大家了解大型分布式微服务架构的搭建过程,最后深入源码加深对它的了解。 本课程共分为四个部分: 第一部分(第...
Tomcat爆出高危漏洞Tomcat 8.5 ~ 10 中招…
06-27 2667
开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。 不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。 光这半年以来,所知道的就有 Dubbo、FastJSON、Tomcat: 前段时间这个 Tomcat AJP 协议漏洞大开,2020/06/25 这天 Tomcat爆出 HTTP/2 拒绝服务漏洞: http://mail-archives.apache.org/mod
版本 tomcat_Tomcat爆出安全漏洞Spring Cloud/Boot框架多个版本影响
weixin_36473464的博客
01-09 247
转载于:腾讯云中间件https://mp.weixin.qq.com/s/svPkWRwHHHlFPNyaMIuiAw01 事件背景6月25日, Apache 官方安全团队通过邮件公开报告了一个高危漏洞,邮件中介绍了 HTTP/2 拒绝服务漏洞的细节及解决方案。如下图所示:漏洞详情链接:http://mail-archives.apache.org/mod_mbox/www-announce/20...
Spring框架漏洞(附修复方法)
C233333235的博客
08-07 1075
SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架
Spring框架漏洞总结
weixin_42345596的博客
08-30 1155
Spring简介 SpringJava EE编程领域的一个轻量级开源框架,该框架由一个叫Rod Johnson的程序员在2002年最早提出并随后创建,是为了解决企业级编程开发中的复杂性,业务逻辑层和其他各层的松耦合问题,因此它将面向接口的编程思想贯穿整个系统应用,实现敏捷开发的应用型框架框架的主要优势之一就是其分层架构,分层架构允许使用者选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 2009年9月Spring 3.0 RC1发布后,Spring就引入了SpEL (Spring Expr
Spring 漏洞分析
weixin_30576859的博客
09-23 472
http://drops.wooyun.org/tips/2892 Spring框架问题分析 tang3·2014/09/01 11:29·来自乌云知识库 0x00 概述 Spring作为使用最为广泛的Java Web框架之一,拥有大量的用户。也由于用户量的庞大,Spring框架成为漏洞挖掘者关注的目标,在Struts漏洞狂出的如今,Spring也许正在被酝酿一场大的危机。 ...
Spring框架常见漏洞
最新发布
本散修的一些学习心得与笔记,道友请自便。
09-17 915
本篇文章主要是内容常见Spring漏洞的解析以及理解。
Spring Boot进阶(22):决战容器之巅:Tomcat vs Undertow!性能对比分析揭秘最佳选择!
**My Coding Family**
03-14 3908
SpringBootTomcat与Undertow容器性能对比?此文告诉你答案
Tomcat 爆出高危漏洞
yanweijie0317的专栏
02-27 664
转载:https://mp.weixin.qq.com/s?__biz=MzI3ODcxMzQzMw==&mid=2247492800&idx=1&sn=6dad86167622ce1607a77033bd755132&chksm=eb5061f6dc27e8e0e87b213e6f8e5aeef78db632ade3b4b219857c56e863251c8a7d...
Spring 框架Spring Data Commons 组件 远程代码执行漏洞
简简单单Onlinezuozuo
07-12 5802
Spring 框架Spring Data Commons 组件 远程代码执行漏洞 2018年4月11日,阿里云云盾应急响应中心监测到Spring框架存在一系列漏洞。 1.Spring 框架 5.0-5.0.4,4.3 - 4.3.15 和更老的不被支持的版本中存在远程代码执行漏洞 允许应用通过Spring-Messaging模块搭建一个不落盘的STOMP消息中介,并在Websock...
Spring框架漏洞合集
小小猪的博客
08-18 8051
Spring框架漏洞合集 Spring Security OAuth2 远程命令执行漏洞(CVE-2016-4977) 访问路径/oauth/authorize,会看到左上角有个绿色叶子的标志,一般都是spring或者springboot 直接打poc,可以看到有el表达式注入的形式 /oauth/authorize?response_type=${2*3}&client_id=acme&scope=openid&redirect_uri=http://test 如果要
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值