溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
Apache Tomcat HTTP/2 拒絕服務攻擊漏洞CVE-2020-11996如何理解,針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。
2020年06月29日, 360CERT監測發現 apache 官方 發布了 Tomcat http/2 拒絕服務攻擊 的風險通告,該漏洞編號為 CVE-2020-11996,漏洞等級:中危。
Tomcat是由Apache軟件基金會下屬的Jakarta項目開發的一個Servlet容器,按照Sun Microsystems提供的技術規范,實現了對Servlet和JavaServer Page(JSP)的支持,并提供了作為Web服務器的一些特有功能,如Tomcat管理和控制平臺、安全域管理和Tomcat閥等。
通過惡意構造的HTTP/2請求序列可能會在幾秒鐘內觸發高CPU使用率。如果在并發HTTP/2連接上發出足夠數量的此類請求,服務器可能會變得無響應。
對此,360CERT建議廣大用戶及時安裝最新補丁,做好資產自查以及預防工作,以免遭受黑客攻擊。
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 中危 |
| 影響面 | 廣泛 |
通過惡意構造的HTTP/2請求序列可能會在幾秒鐘內觸發高CPU使用率。如果在并發HTTP/2連接上發出足夠數量的此類請求,服務器可能會變得無響應。
Apache Tomcat : 10.0.0-M1 to 10.0.0-M5
Apache Tomcat : 9.0.0.M1 to 9.0.35
Apache Tomcat : 8.5.0 to 8.5.55
Apache Tomcat 10.0.0-M1 to 10.0.0-M5 版本用戶升級到 10.0.0-M6 或更高版本,下載地址為:
https://tomcat.apache.org/download-10.cgi
Apache Tomcat 9.0.0.M1 to 9.0.35 版本用戶升級到 9.0.36 或更高版本,下載地址為:
https://tomcat.apache.org/download-90.cgi
Apache Tomcat 8.5.0 to 8.5.55 版本用戶升級到 8.5.56 或更高版本,下載地址為:
https://tomcat.apache.org/download-80.cgi
360安全大腦-Quake網絡空間測繪系統通過對全網資產測繪,發現Apache Tomcat在 全球 均有廣泛使用,具體分布如下圖所示。
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類漏洞進行監測,請用戶聯系相關產品區域負責人獲取對應產品。
關于Apache Tomcat HTTP/2 拒絕服務攻擊漏洞CVE-2020-11996如何理解問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
