Apache Tomcat请求对象安全绕过漏洞

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Apache Tomcat请求对象安全绕过漏洞相关的知识,希望对你有一定的参考价值。

参考技术A 打开腾讯电脑管家——工具箱——修复漏洞,进行漏洞扫描和修复。 建议设置开启自动修复漏洞功能,开启后,电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞)时,第一时间自动进行修复,无需用户参与,最大程度保证用户电脑安全。

安全 | Apache Tomcat HTTP/2可被Dos攻击

安全 | Apache Tomcat HTTP/2可被Dos攻击

近日Apache Tomcat安全团队报告了一个Tomcat HTTP/2 Dos的漏洞(漏洞编号:CVE-2020-11996),在并发HTTP/2连接上进行连接时发送大量特制请求,导致服务器无响应



漏洞详情

特殊构造的HTTP/2请求序列可能会引发较高的CPU使用率,如果有足够数量的此类请求在并发HTTP/2连接上进行连接时,可能导致服务器无响应,即造成拒绝服务



风险等级

高风险



漏洞风险

攻击者通过发送大量特定请求,可以导致在影响版本范围内使用HTTP/2协议的tomcat服务器无响应



影响版本
  • Apache Tomcat 10.0.0-M1——10.0.0-M5

  • Apache Tomcat 9.0.0.M1——9.0.35

  • Apache Tomcat 8.5.0——8.5.55



修复版本
  • 升级到Apache Tomcat 10.0.0-M6或更高版本

  • 升级到Apache Tomcat 9.0.36或更高版本

  • 升级到Apache Tomcat 8.5.56或更高版本



修复建议

官方已发布漏洞修复版本,建议

  • 检查Tomcat服务器版本是否在受影响范围

  • 检查网站或系统是否使用HTTP/2版本协议

  • 如果确认受影响,选择合适的时间进行升级操作



安全 | Apache Tomcat HTTP/2可被Dos攻击
扫描二维码
关注我们吧



以上是关于Apache Tomcat请求对象安全绕过漏洞的主要内容,如果未能解决你的问题,请参考以下文章

安全 | Apache Tomcat HTTP/2可被Dos攻击

08.19安全帮®每日资讯:Apache Shiro身份验证绕过漏洞安全风险通告;美国再拉黑38家华为子公司

漏洞报送Apache Tomcat 信息泄露漏洞

Tomcat H2C请求混合漏洞预警(CVE-2021-25122)

预警通报关于Apache Tomcat WebSocket拒绝服务 漏洞的预警通报

高危:Apache Tomcat HTTP/2 DoS 漏洞,影响多个版本