Tomcat 又爆出高危漏洞!!Tomcat 8.5 ~ 10 中招…
这次也要注意了。...
Java技术栈
www.javastack.cn
关注阅读更多优质文章开源界最近很热闹啊,各个主流软件或框架漏洞频发,比如像 Struts2、FastJSON、Dubbo、Redis、Tomcat 等都存在各种各样的漏洞。
不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。
光这半年以来,栈长知道的,通过公众号Java技术栈发布的就有 Dubbo、FastJSON、Tomcat:
2020年06月23日:
最新!Dubbo 远程代码执行漏洞通告,速度升级:
https://mp.weixin.qq.com/s/t9GgYangGAeFTwtQA_dVfA
2020年05月28日:
Fastjson 又出高危漏洞,可远程执行代码:
https://mp.weixin.qq.com/s/ybyHWA7JN-YyR7WUoCqEUQ
2020年02月20日:
Tomcat AJP 协议漏洞:
https://mp.weixin.qq.com/s/SWKbpOHCyK7ZPc6AokaHGw
前段时间这个 Tomcat AJP 协议漏洞大躁,2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞:
http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3e
这是一封来自 Apache 官方安全团队的邮件,已通过 Apache Tomcat 用户邮件公开报告了此问题,邮件中介绍了 HTTP/2 拒绝服务漏洞的各方面细节及解决方案。
漏洞名称: Apache Tomcat HTTP/2 拒绝服务漏洞
漏洞编号: CVE-2020-11996
严重程度: 重要
软件提供商: Apache 软件基金会
受影响的版本:
- Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
- Apache Tomcat 9.0.0.M1 ~ 9.0.35
- Apache Tomcat 8.5.0 ~ 8.5.55
一个特别制作的 HTTP/2 请求序列,在短短数秒内能导致 CPU 满负载率,如果有足够数量多的此类请求连接(HTTP/2)并发打在服务器上,服务器可能会失去响应。
解决方案:
- 升级到 Apache Tomcat 10.0.0-M6+
- 升级到 Apache Tomcat 9.0.36+
- 升级到 Apache Tomcat 8.5.56+
相关阅读:
- HTTP/2 与 HTTP/1 有什么区别?
- HTTP/2 最新漏洞,直指 Kubernetes!
HTTP/2 拒绝服务漏洞还算好,因为 Tomcat 中默认使用 HTTP/1.1 协议,如果你们没有用 HTTP/2 那就没问题,如果开启了就要注意升级了。[1] http://tomcat.apache.org/security-10.html
[2] http://tomcat.apache.org/security-9.html
[3] http://tomcat.apache.org/security-8.html
关注公众号Java技术栈,栈长将继续关注并分享此类最新漏洞,你们关注的也是我关心的。最近热文:
1、Spring Boot 干掉了 Maven 拥抱 Gradle!
2、一周面试了 30 人,面到我心态爆炸…
3、阿里为什么不用 Zookeeper 做服务发现?
4、写了个全局变量的bug,被同事们打脸!
5、Java 14 祭出神器,Lombok 被干掉了?
6、为什么 Redis 单线程能达到百万+QPS?
7、Spring Boot 2.3 优雅关闭新姿势,真香!
8、Redis 到底是单线程还是多线程?
9、我天!xx.equals(null) 是什么骚操作??
10、Spring Boot 2.3.1 发布, 10 个新特性!
扫码关注Java技术栈公众号阅读更多干货。
点击「阅读原文」获取面试题大全~
关注 Java技术栈
微信扫一扫关注公众号