开源界最近很热闹啊,各个主流软件或框架漏洞频发,好比像 Struts二、FastJSON、Dubbo、Redis、Tomcat 等都存在各类各样的漏洞。apache
不要使用含有漏洞的组件每次也都被评为 OWASP 10 大安全漏洞之一。安全
光这半年以来,所知道的就有 Dubbo、FastJSON、Tomcat:服务器
前段时间这个 Tomcat AJP 协议漏洞大开,2020/06/25 这天 Tomcat 又爆出 HTTP/2 拒绝服务漏洞:并发
http://mail-archives.apache.org/mod_mbox/www-announce/202006.mbox/%3cfd56bc1d-1219-605b-99c7-946bf7bd8ad4@apache.org%3e框架
这是一封来自 Apache 官方安全团队的邮件,已经过 Apache Tomcat 用户邮件公开报告了此问题,邮件中介绍了 HTTP/2 拒绝服务漏洞的各方面细节及解决方案。ast
漏洞名称: Apache Tomcat HTTP/2 拒绝服务漏洞class
漏洞编号: CVE-2020-11996软件
严重程度: 重要请求
软件提供商: Apache 软件基金会im
受影响的版本:
- Apache Tomcat 10.0.0-M1 ~ 10.0.0-M5
- Apache Tomcat 9.0.0.M1 ~ 9.0.35
- Apache Tomcat 8.5.0 ~ 8.5.55
漏洞描述:
一个特别制做的 HTTP/2 请求序列,在短短数秒内能致使 CPU 满负载率,若是有足够数量多的此类请求链接(HTTP/2)并发放在服务器上,服务器可能会失去响应。
解决方案:
- 升级到 Apache Tomcat 10.0.0-M6+
- 升级到 Apache Tomcat 9.0.36+
- 升级到 Apache Tomcat 8.5.56+
升级到对应的版本便可,另外,从官方揭示的信息来看,Tomcat 8.5 如下版本不受影响,是由于 Tomcat 8.5+才开始有了对 HTTP/2 的支持吧。
HTTP/2 拒绝服务漏洞还算好,由于 Tomcat 中默认使用 HTTP/1.1 协议,若是大家没有用 HTTP/2 那就没问题,若是开启了就要注意升级了。