最新動(dòng)態(tài)

【漏洞預(yù)警】ApacheTomcatHTTP/2遠(yuǎn)程拒絕服務(wù)漏洞

2019-03-27

【漏洞預(yù)警】Apache Tomcat HTTP/2 遠(yuǎn)程拒絕服務(wù)高危漏洞


2019年3月26日,我司監(jiān)測(cè)到Apache Tomcat近日發(fā)布安全更新,披露了1個(gè)遠(yuǎn)程拒絕服務(wù)的漏洞:CVE-2019-0199,開(kāi)啟HTTP/2的Apache Tomcat可被遠(yuǎn)程拒絕服務(wù)攻擊。


漏洞描述
Apache Tomcat在實(shí)現(xiàn)HTTP/2時(shí)允許接受大量的SETTINGS幀的配置流量,并且客戶(hù)端在沒(méi)有讀寫(xiě)請(qǐng)求的情況下可以長(zhǎng)時(shí)間保持連接。如果來(lái)自客戶(hù)端的連接請(qǐng)求過(guò)多,最終可導(dǎo)致服務(wù)端線(xiàn)程耗盡而DoS。

漏洞評(píng)級(jí)
CVE-2019-0199 高危

影響范圍
開(kāi)啟HTTP/2協(xié)議功能且版本如下:
9.0.0.M1 < Apache Tomcat < 9.0.14
8.5.0 < Apache Tomcat < 8.5.37

安全版本
Apache Tomcat 9.0.16
Apache Tomcat 8.5.38
Apache Tomcat 7.x
Apache Tomcat 6.x

安全建議
禁用HTTP/2或升級(jí)至安全版本。

相關(guān)鏈接
http://tomcat.apache.org/security-9.html


華云數(shù)據(jù)集團(tuán)有限公司
2019年03月27日