点击上方蓝字关注我们!
漏洞背景2020年6月29日,嘉诚安全监测发现Apache官方发布了Tomcat HTTP/2拒绝服务攻击漏洞的风险通告,漏洞编号 CVE-2020-11996,漏洞等级:中危。
Apache Tomcat 是一个开放源代码、运行servlet和JSPWeb应用软件的基于Java的Web应用软件容器。
嘉诚安全提醒相关用户及时更新,以免引发漏洞相关的网络安全事件。
漏洞详情通过恶意构造的HTTP/2请求序列可能会在几秒钟内触发高CPU使用率。如果在并发HTTP/2连接上发出足够数量的此类请求,服务器可能会变得无响应。
危害影响Apache Tomcat 10.0.0-M1 to 10.0.0-M5
Apache Tomcat 9.0.0.M1 to 9.0.35
Apache Tomcat 8.5.0 to 8.5.55
修复建议目前,Apache官方已发布新版本修复此漏洞,相关用户尽快升级:
1、Apache Tomcat 10.0.0-M1 to 10.0.0-M5 版本用户升级到 10.0.0-M6 或更高版本,下载地址为:
https://tomcat.apache.org/download-10.cgi
2、Apache Tomcat 9.0.0.M1 to 9.0.35 版本用户升级到 9.0.36 或更高版本,下载地址为:
https://tomcat.apache.org/download-90.cgi
3、Apache Tomcat 8.5.0 to 8.5.55 版本用户升级到 8.5.56 或更高版本,下载地址为:
https://tomcat.apache.org/download-80.cgi