CVE-2020-11996 | Apache Tomcat HTTP/2拒绝服务漏洞通告

发布时间 2020-06-29

0x00 漏洞概述



CVE   ID

CVE-2020-11996

   

2020-06-29

类型

DOS

   

高危

远程利用

影响范围

Apache Tomcat 10.0.0-M110.0.0-M5

Apache Tomcat 9.0.0.M19.0.35

Apache Tomcat 8.5.08.5.55


0x01 漏洞详情




Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持,是开发和调试JSP 程序的首选。Apache只支持静态网页,但像php,cgi,jsp等动态网页就需要Tomcat来处理。

2020年6月25日,Apache官方发布安全公告,修复了一个Apache Tomcat中的HTTP/2拒绝服务漏洞(CVE-2020-11996)。该漏洞源于恶意的HTTP/2请求序列可能会导致长达几秒钟的CPU高使用率,攻击者通过发送大量的此类请求来利用此漏洞,导致服务器拒绝响应,从而实现DoS攻击。


0x02 处置建议


该漏洞影响Apache Tomcat 10.0.0-M1至10.0.0-M5版本、9.0.0.M1至9.0.35版本和8.5.0至8.5.55版本,官方已发布最新版本,请相关用户及时升级,详情如下:

1. Apache Tomcat 10.0.0-M1至10.0.0-M5 版本的用户请升级到10.0.0-M6或更高版本,下载地址:https://tomcat.apache.org/download-10.cgi

2. Apache Tomcat 9.0.0.M1至9.0.35 版本的用户请升级到9.0.36或更高版本,下载地址:https://tomcat.apache.org/download-90.cgi

3. Apache Tomcat 8.5.0至8.5.55 版本的用户请升级到8.5.56或更高版本,下载地址:https://tomcat.apache.org/download-80.cgi


0x03 相关新闻


https://www.tenable.com/cve/CVE-2020-11996


0x04 参考链接


https://lists.apache.org/thread.html/r5541ef6b6b68b49f76fc4c45695940116da2bcbe0312ef204a00a2e0%40%3Cannounce.tomcat.apache.org%3E

http://mail-archives.us.apache.org/mod_mbox/www-announce/202006.mbox/%3Cfd56bc1d-1219-605b-99c7-946bf7bd8ad4%40apache.org%3E


0x05 时间线


2020-06-25 Apache发布安全公告

2020-06-29 VSRC发布漏洞通告