Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~ 10 中招…

Java技术栈

www.javastack.cn

关注阅读更多优质文章

开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。

不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。

光这半年以来,栈长知道的,通过公众号Java技术栈发布的就有 Dubbo、FastJSON、Tomcat:

2020年06月23日:

最新!Dubbo 远程代码执行漏洞通告,速度升级:

https://mp.weixin.qq.com/s/t9GgYangGAeFTwtQA_dVfA

2020年05月28日:

Fastjson 又出高危漏洞,可远程执行代码:

https://mp.weixin.qq.com/s/ybyHWA7JN-YyR7WUoCqEUQ

2020年02月20日:

Tomcat AJP 协议漏洞:

https://mp.weixin.qq.com/s/SWKbpOHCyK7ZPc6AokaHGw

前段时间这个 Tomcat AJP 协议漏洞大躁,2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞:

http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3e

这是一封来自 Apache 官方安全团队的邮件,已通过 Apache Tomcat 用户邮件公开报告了此问题,邮件中介绍了 HTTP/2 拒绝服务漏洞的各方面细节及解决方案。

漏洞名称: Apache Tomcat HTTP/2 拒绝服务漏洞

漏洞编号: CVE-2020-11996

严重程度: 重要

软件提供商: Apache 软件基金会

受影响的版本:

  • Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5

  • Apache Tomcat 9.0.0.M1 ~ 9.0.35

  • Apache Tomcat 8.5.0 ~ 8.5.55

漏洞描述:

一个特别制作的 HTTP/2 请求序列,在短短数秒内能导致 CPU 满负载率,如果有足够数量多的此类请求连接(HTTP/2)并发打在服务器上,服务器可能会失去响应。

解决方案:

  • 升级到 Apache Tomcat 10.0.0-M6+

  • 升级到 Apache Tomcat 9.0.36+

  • 升级到 Apache Tomcat 8.5.56+

升级到对应的版本即可,另外,从官方揭示的信息来看,Tomcat 8.5 以下版本不受影响,是因为 Tomcat 8.5+才开始有了对 HTTP/2 的支持吧。

相关阅读:

参考:

[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html

HTTP/2 拒绝服务漏洞还算好,因为 Tomcat 中默认使用 HTTP/1.1 协议,如果你们没有用 HTTP/2 那就没问题,如果开启了就要注意升级了。

关注公众号Java技术栈,栈长将继续关注并分享此类最新漏洞,你们关注的也是我关心的。

最近热文:

1、Spring Boot 干掉了 Maven 拥抱 Gradle!

2、一周面试了 30 人,面到我心态爆炸…

3、阿里为什么不用 Zookeeper 做服务发现?

4、写了个全局变量的bug,被同事们打脸!

5、Java 14 祭出神器,Lombok 被干掉了?

6、为什么 Redis 单线程能达到百万+QPS?

7、Spring Boot 2.3 优雅关闭新姿势,真香!

8、Redis 到底是单线程还是多线程?

9、我天!xx.equals(null) 是什么骚操作??

10、Spring Boot 2.3.1 发布, 10 个新特性!

扫码关注Java技术栈公众号阅读更多干货。

点击「阅读原文」获取面试题大全~

展开阅读全文

Git 实用技巧

11-24
这几年越来越多的开发团队使用了Git,掌握Git的使用已经越来越重要,已经是一个开发者必备的一项技能;但很多人在刚开始学习Git的时候会遇到很多疑问,比如之前使用过SVN的开发者想不通Git提交代码为什么需要先commit然后再去push,而不是一条命令一次性搞定; 更多的开发者对Git已经入门,不过在遇到一些代码冲突、需要恢复Git代码时候就不知所措,这个时候哪些对 Git掌握得比较好的少数人,就像团队中的神一样,在队友遇到 Git 相关的问题的时候用各种流利的操作来帮助队友于水火。 我去年刚加入新团队,发现一些同事对Git的常规操作没太大问题,但对Git的理解还是比较生疏,比如说分支和分支之间的关联关系、合并代码时候的冲突解决、提交代码前未拉取新代码导致冲突问题的处理等,我在协助处理这些问题的时候也记录各种问题的解决办法,希望整理后通过教程帮助到更多对Git操作进阶的开发者。 本期教程学习方法分为“掌握基础——稳步进阶——熟悉协作”三个层次。从掌握基础的 Git的推送和拉取开始,以案例进行演示,分析每一个步骤的操作方式和原理,从理解Git 工具的操作到学会代码存储结构、演示不同场景下Git遇到问题的不同处理方案。循序渐进让同学们掌握Git工具在团队协作中的整体协作流程。 在教程中会通过大量案例进行分析,案例会模拟在工作中遇到的问题,从最基础的代码提交和拉取、代码冲突解决、代码仓库的数据维护、Git服务端搭建等。为了让同学们容易理解,对Git简单易懂,文章中详细记录了详细的操作步骤,提供大量演示截图和解析。在教程的最后部分,会从提升团队整体效率的角度对Git工具进行讲解,包括规范操作、Gitlab的搭建、钩子事件的应用等。 为了让同学们可以利用碎片化时间来灵活学习,在教程文章中大程度降低了上下文的依赖,让大家可以在工作之余进行学习与实战,并同时掌握里面涉及的Git不常见操作的相关知识,理解Git工具在工作遇到的问题解决思路和方法,相信一定会对大家的前端技能进阶大有帮助。
©️2020 CSDN 皮肤主题: 大白 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值