安全 | Apache Tomcat HTTP/2可被Dos攻击

Posted 运维实谈

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全 | Apache Tomcat HTTP/2可被Dos攻击相关的知识,希望对你有一定的参考价值。

安全 | Apache Tomcat HTTP/2可被Dos攻击

近日Apache Tomcat安全团队报告了一个Tomcat HTTP/2 Dos的漏洞(漏洞编号:CVE-2020-11996),在并发HTTP/2连接上进行连接时发送大量特制请求,导致服务器无响应



漏洞详情

特殊构造的HTTP/2请求序列可能会引发较高的CPU使用率,如果有足够数量的此类请求在并发HTTP/2连接上进行连接时,可能导致服务器无响应,即造成拒绝服务



风险等级

高风险



漏洞风险

攻击者通过发送大量特定请求,可以导致在影响版本范围内使用HTTP/2协议的tomcat服务器无响应



影响版本

  • Apache Tomcat 10.0.0-M1——10.0.0-M5

  • Apache Tomcat 9.0.0.M1——9.0.35

  • Apache Tomcat 8.5.0——8.5.55



修复版本

  • 升级到Apache Tomcat 10.0.0-M6或更高版本

  • 升级到Apache Tomcat 9.0.36或更高版本

  • 升级到Apache Tomcat 8.5.56或更高版本



修复建议

官方已发布漏洞修复版本,建议

  • 检查Tomcat服务器版本是否在受影响范围

  • 检查网站或系统是否使用HTTP/2版本协议

  • 如果确认受影响,选择合适的时间进行升级操作



安全 | Apache Tomcat HTTP/2可被Dos攻击
扫描二维码
关注我们吧



以上是关于安全 | Apache Tomcat HTTP/2可被Dos攻击的主要内容,如果未能解决你的问题,请参考以下文章

Apache+Tomcat搭建安全的新闻发布平台

安全风险通告Apache Tomcat WebSocket拒绝服务漏洞EXP公开

选择隐藏 ip 端口和安全措施还有 APACHE HTTP 或 TOMCAT 或其他?

0-java安全基础——搭建tomcat调试环境

0-java安全基础——搭建tomcat调试环境

Apache Tomcat请求对象安全绕过漏洞