Apache Tomcat HTTP / 2 DoS漏洞

来源:scanv2020.06.29

一 漏洞概述

Apache Tomcat 官方发布的一条通知指出了Apache Tomcat上存在一个HTTP / 2拒绝服务漏洞(CVE-2020-11996)。特制的HTTP / 2请求序列可能会在几秒钟内触发较高的CPU使用率。如果在并发HTTP / 2连接上发出足够数量的此类请求,则服务器可能会无响应。
Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。攻击者可通过发出大量请求利用该漏洞导致服务器无法响应。

二 影响版本

Apache Tomcat 10.0.0-M1~10.0.0-M5

Apache Tomcat 9.0.0.M1~9.0.35

Apache Tomcat 8.5.0~8.5.55

三 复现过程

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “Apache Tomcat” 进行搜索,共得到 4,876,924 条 IP 历史记录,主要分布在中国、美国等国家。

五 修复建议

建议用户尽快将Tomcat升级到未受影响的版本

不受影响的版本如下:

Apache Tomcat 10.0.0-M6或更高版本

Apache Tomcat 9.0.36或更高版本

Apache Tomcat 8.5.56或更高版本

补丁下载地址:

https://tomcat.apache.org/download-10.cgi
https://tomcat.apache.org/download-90.cgi
https://tomcat.apache.org/download-80.cgi

六 时间线

知道创宇发布漏洞情报时间:2020年6月29日

七 相关链接

Apache:http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3ettps://meterpreter.org/cve-2020-11996-apache-tomcat-http-2-denial-of-service-vulnerability-alert/

ZoomEye 网络空间搜索引擎:https://www.zoomeye.org/searchResult?q=app%3A%22Apache%20Tomcat%22

热门文章

  • Kubernetes容器节点漏洞(CVE-2020-8558)

    Kubernetes存在一个容器漏洞(CVE-2020-8558),攻击者可能通过共享主机网络的容器,或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务,从而获取接口信息。如果服务没有设置必要的安全认证,可能造成信息泄露风险。

  • Citrix产品多个安全漏洞

    2020年7月7日,Citrix官方发布安全公告,在Citrix ADC、Citrix网关和Citrix SD-WAN WANOP 4000-WO、4100-WO、5000-WO和5100-WO版本中发现了多个漏洞。

  • PAN-OS GlobalProtect portal命令注入漏洞(CVE-2020-2034)

    2020年7月8日,Palo Alto Networks发布安全公告,修复了一个PAN-OS GlobalProtect portal中的命令注入漏洞(CVE-2020-2034),该漏洞导致未经身份验证的攻击者可在受影响的设备上以root权限执行任意OS命令。

关注知道创宇云安全

获取安全动态