加载中…
个人资料
高防服务器在线
高防服务器在线
  • 博客等级:
  • 博客积分:0
  • 博客访问:102,100
  • 关注人气:0
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

【佛山机房漏洞预警】ApacheTomcat远程拒绝服务高危漏洞

(2019-03-28 09:44:43)
标签:

apachetomcat

高并发服务器

高防服务器在线

锐讯网络吴伟在

漏洞预警

分类: 杂谈
【佛山机房漏洞预警】Apache Tomcat远程拒绝服务高危漏洞
佛山德胜高防机房监测到Apache Tomcat近日发布安全更新,披露了1个远程拒绝服务的漏洞:CVE-2019-0199,开启HTTP/2的Apache Tomcat可被远程拒绝服务攻击。
【佛山机房漏洞预警】ApacheTomcat远程拒绝服务高危漏洞
漏洞描述:拒绝服务 CVE-2019-0199

Apache Tomcat HTTP/2实现接受具有过多SETTINGS帧数的流,并且还允许客户端在不读/写请求/响应数据的情况下保持流打开。通过为使用Servlet API的阻塞I/O的请求保持流打开,客户端能够导致服务器端线程阻塞,最终导致线程耗尽和DoS。

这是固定在修订1852698, 1852699, 1852700, 1852701, 1852702, 1852703, 1852704, 1852705, 1852706和 a1cb1ac。

此问题已于2019年1月4日由Red Hat,Inc的Michal Karm Babacek向Apache Tomcat安全小组报告,并由Tomcat安全小组确定了其他问题。该问题于2019年3月25日公布。

漏洞评级
CVE-2019-0199 高危

影响范围
开启HTTP/2协议功能且版本如下:
9.0.0.M1 < Apache Tomcat < 9.0.14
8.5.0 < Apache Tomcat < 8.5.37

安全版本
Apache Tomcat 9.0.16
Apache Tomcat 8.5.38
Apache Tomcat 7.x
Apache Tomcat 6.x

安全建议
禁用HTTP/2或升级至安全版本。

相关链接
http://tomcat.apache.org/security-9.html

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有