首頁 > 安全研究 > 安全通報 > 安全通告

Apache Tomcat HTTP/2拒絕服務漏洞安全通告

發布時間 2019-03-26

漏洞編號和級別


CVE編號:cve-2019-0199,危險級別:高危,CVSS分值:廠商自評7.5,官方未評定


影響版本


Apache Tomcat 9.0.0.M1 至 9.0.14

Apache Tomcat 8.5.0 至 8.5.37


漏洞概述


Apache Tomcat官方披露了—個HTTP/2的DoS漏洞,該漏洞系HTTP/2在接收過量SETTINGS Frame流數據時允許客戶端在不讀/寫請求/響應數據的情況下仍然保持流打開狀態,攻擊者可以利用該漏洞從客戶端發起大量的open stream請求從而阻塞服務器端的線程,引起服務器端線程資源耗盡從而導致服務不可用。


漏洞驗證


暫無POC、EXP

查看Apache Tomcat對應的版本號是否在受影響版本范圍內。


修復建議


目前漏洞細節已經披露,官方也在Apache Tomcat 9.0.16、Apache Tomcat8.5.38及以后版本修復中予以修復。
http://tomcat.apache.org/security-9.html

http://tomcat.apache.org/security-8.html


參考鏈接


https://www.mail-archive.com/dev@tomcat.apache.org/msg132386.html

上一篇 下一篇