首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-11996 | Apache Tomcat HTTP/2拒絕服務漏洞通告

發布時間 2020-06-29

0x00 漏洞概述



CVE   ID

CVE-2020-11996

   

2020-06-29

類型

DOS

   

高危

遠程利用

影響范圍

Apache Tomcat 10.0.0-M110.0.0-M5

Apache Tomcat 9.0.0.M19.0.35

Apache Tomcat 8.5.08.5.55


0x01 漏洞詳情




Apache Tomcat是美國阿帕奇(Apache)軟件基金會的一款輕量級Web應用服務器。該程序實現了對Servlet和JavaServer Page(JSP)的支持,是開發和調試JSP 程序的首選。Apache只支持靜態網頁,但像php,cgi,jsp等動態網頁就需要Tomcat來處理。

2020年6月25日,Apache官方發布安全公告,修復了一個Apache Tomcat中的HTTP/2拒絕服務漏洞(CVE-2020-11996)。該漏洞源于惡意的HTTP/2請求序列可能會導致長達幾秒鐘的CPU高使用率,攻擊者通過發送大量的此類請求來利用此漏洞,導致服務器拒絕響應,從而實現DoS攻擊。


0x02 處置建議


該漏洞影響Apache Tomcat 10.0.0-M1至10.0.0-M5版本、9.0.0.M1至9.0.35版本和8.5.0至8.5.55版本,官方已發布最新版本,請相關用戶及時升級,詳情如下:

1. Apache Tomcat 10.0.0-M1至10.0.0-M5 版本的用戶請升級到10.0.0-M6或更高版本,下載地址:https://tomcat.apache.org/download-10.cgi

2. Apache Tomcat 9.0.0.M1至9.0.35 版本的用戶請升級到9.0.36或更高版本,下載地址:https://tomcat.apache.org/download-90.cgi

3. Apache Tomcat 8.5.0至8.5.55 版本的用戶請升級到8.5.56或更高版本,下載地址:https://tomcat.apache.org/download-80.cgi


0x03 相關新聞


https://www.tenable.com/cve/CVE-2020-11996


0x04 參考鏈接


https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3E

http://mail-archives.us.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4%40apache.org%3E


0x05 時間線


2020-06-25 Apache發布安全公告

2020-06-29 VSRC發布漏洞通告




上一篇 下一篇